通用即插即用 (UPnP) 是一种通过一次设置更改自动将正在使用的端口快速转发到网络上其他设备的方法,无需额外配置。UPnP 端口转发被许多网络设备广泛使用,使它们能够更有效地相互通信,并自动创建工作组以进行数据共享,以及其他应用程序。
UPnP 端口转发安全吗?
UPnP 不是安全协议。它使用网络 UDP 多播,没有加密,也没有身份验证。由于 UPnP 未经过身份验证,因此一台设备可以请求另一台设备的端口映射。黑客可以滥用 UPnP 通过恶意文件进行攻击来感染您的系统并获得控制权。尽管方便,但 UPnP 可能会使您的设备暴露于公共网络和恶意攻击。
我们推荐的连接方法
建议您的 QNAP NAS 在没有公共 IP 地址的情况下留在路由器和防火墙后面。您应该在路由器配置中为 QNAP NAS 禁用手动端口转发和 UPnP 自动端口转发。QNAP 提供的myQNAPcloud Link服务是大多数用户访问其 QNAP NAS 的好方法。传输速度可能会稍慢,因为流量是通过 QNAP 的服务器中继的。
另一个建议是在路由器上启用 V 服务器功能。当您需要从 Internet 访问您的 QNAP NAS 时,请先连接到路由器上的 V 服务器,然后再连接到您的 QNAP NAS。其他替代连接方法包括通过安装QV Service应用程序或部署QNAP 的 SD-WAN 解决方案QuWAN在 QNAP NAS 上启用 V 服务器。
如果您的 NAS 必须打开 Internet 端口,应采取的措施
如果您的 QNAP NAS 必须直接连接到互联网,我们建议采取以下措施来加强您的设备并减少暴露的机会:
- 将 QNAP NAS 置于路由器和防火墙之后。不要让您的 QNAP NAS 获得公共 IP 地址。关闭 QNAP NAS 上的 UPnP,在路由器配置中手动设置端口转发,仅为您使用的 QNAP NAS 服务所需的网络端口。
- 禁用任何您不使用的服务,例如 Telnet、SSH、Web 服务器、SQL 服务器、phpMyAdmin 和 PostgreSQL。
- 将默认外部(Internet 端)端口号(例如 21、22、80、443、8080 和 8081)更改为自定义(随机)端口号。例如,将 8080 更改为 9527。
- 仅使用加密的 HTTPS 或其他类型的安全连接(SSH 等)。
- 在您的 QNAP NAS 上安装 QuFirewall 并将允许的 IP 地址限制到特定区域或子网。
- 设置一个新的管理员帐户,并禁用默认的管理员帐户。
- 为所有 NAS 用户实施强密码策略,包括您刚刚创建的新管理员帐户。
- 在 QNAP NAS 上配置 MFA(两步验证)。
- 启用自动操作系统和应用程序更新。您可以安排更新以避免中断备份/同步或其他任务。
- 启用 IP 访问保护以阻止登录尝试失败次数过多的 IP 地址。
本站所有文章资讯、展示的图片素材等内容均为注册用户上传(部分报媒/平媒内容转载自网络合作媒体),仅供学习参考。
用户通过本站上传、发布的任何内容的知识产权归属用户或原始著作权人所有。如有侵犯您的版权,请联系我们反馈本站将在三个工作日内改正。
