随着数据保护和网络安全意识的提升,企业和个人用户越来越重视网络设备的安全性。群晖(Synology)NAS作为一款功能强大的网络存储设备,提供了多种安全配置选项,其中包括防火墙设置。防火墙是防止未经授权访问和保护设备免受恶意攻击的重要工具。本文将详细介绍群晖DSM防火墙的原理以及如何在群晖DSM系统中配置防火墙,以确保您的NAS设备能够在提供高效服务的同时,保持安全性。
DSM防火墙的工作原理
DSM的防火墙包含每个网络接口的规则表。这些规则表由设置为允许或拒绝网络流量的规则构成。防火墙会根据优先级来匹配规则。规则一旦匹配,将被强制执行,且防火墙将不会继续匹配其余的规则。如果没有匹配的规则,防火墙将执行为每个接口配置的默认操作。
防火墙规则
防火墙规则用于根据服务(端口号),来源IP地址(范围)和协议,通过接口封锁或允许网络流量。您可通过重新安排规则的顺序来允许所需连接访问并封锁不需要的流量。
防火墙规则的顺序
请记住,防火墙规则的顺序至关重要。在DSM中,每个网络接口都有其自己的表以及一个称为“所有接口”的共享表,用于常规防火墙规则。
防火墙规则优先顺序:
- 在“所有接口”中定义的规则。
- 在连接所属的各自接口中定义的规则。
- 连接所属各接口中的默认规则。
默认操作
在每个接口的规则列表底部,您可选择默认规则以允许或拒绝与现有防火墙规则不匹配的任何访问请求。默认情况下,此操作设置为允许访问。但是,如果您的目的是仅允许最必要的流量并阻止其余流量,则在配置防火墙规则之后,您需要将默认操作更改为拒绝访问。
定义服务访问权限
配置防火墙之前,请确认您对DSM中要为其配置哪些服务和用户有清晰的认识,这样您才能只允许所需的用户并封锁任何不需要的访问。
在配置防火墙时,您需要了解的是您要允许访问哪些人(IP地址)以及打开哪些服务(端口号)。您可以根据此信息调整防火墙规则。
下表提供了基本设置的提示示例:
|
项目
|
IP地址
|
服务(端口)访问
|
|---|---|---|
|
1
|
本地网络(LAN)
|
可以访问所有服务
|
|
2
|
远程办公室
|
可以访问所有服务
|
|
3
|
Internet
|
允许邮件服务器
|
|
4
|
系统保留
|
封锁所有服务
|
群晖DSM防火墙配置教程
若要开始设置防火墙规则,请执行以下操作:
- 进入控制面板 > 安全性 > 防火墙。
- 在防火墙配置文件区域下,从下拉菜单中选择防火墙配置文件,然后单击右侧的编辑规则按钮。
- 从右上角的下拉菜单中选择网络接口。
要了解更多有关设置防火墙规则的信息,请参阅本文。
按IP地址管理
基于此示例,我们需要为IP范围设置2个规则:一个用于本地网络(LAN),另一个用于远程办公室。在来源IP区块中,选择特定IP并单击选择。然后您可以指定要应用此防火墙规则的IP地址或IP范围。
|
项目
|
IP地址
|
服务(端口)访问
|
操作
|
注1
|
|---|---|---|---|---|
|
1
|
192.168.1.1/255.255.255.0(LAN)
|
全部
|
允许
|
允许对所有服务使用LAN IP
|
|
2
|
1.2.3.4(远程办公室)
|
全部
|
允许
|
允许远程办公室使用外部IP进行所有服务
|
按服务管理
基于示例,我们需要为服务设置规则以允许MailPlus Server。在端口区域,选择从内置应用程序列表选择,然后单击选择,然后选择您要对其应用此防火墙规则的内置应用程序。在此示例中,我们选择了MailPlus Server的选项。
|
项目
|
IP地址
|
服务(端口)访问
|
操作
|
注1
|
|---|---|---|---|---|
|
3
|
全部
|
MailPlus Server
|
允许
|
允许所有IP地址访问邮件服务器
|
按位置管理
基于此示例,我们需要按位置设置连接规则。在来源IP区域中,选择位置,然后指定最多15个要对其应用此防火墙规则的位置。在此示例中,我们选择了系统保留的选项。
注:
- 要了解更多有关DSM服务使用的服务端口的信息,请参阅本文。
- 双击位置可查看目标位置的IP地址列表。
- IP地址列表不是实时更新,而是与DSM更新一起更新。
检查规则的优先级
- 请确认您的托管计算机的IP地址在防火墙规则表中具有最高优先级,以避免任何意外访问被拒绝。
- 确认您的规则顺序正确。例如,如果您不想阻止系统保留的IP地址访问MailPlus Server,则规则3应置于规则4上方。
更新默认操作
验证防火墙规则表之后,可以将默认操作从允许访问切换为拒绝访问,以阻止与相应接口的现有防火墙规则不匹配的任何访问请求。
