惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
S
SegmentFault 最新的问题
Recent Commits to openclaw:main
Recent Commits to openclaw:main
Attack and Defense Labs
Attack and Defense Labs
F
Full Disclosure
Vercel News
Vercel News
N
News | PayPal Newsroom
The GitHub Blog
The GitHub Blog
H
Hacker News: Front Page
H
Heimdal Security Blog
P
Privacy International News Feed
博客园 - 司徒正美
Google DeepMind News
Google DeepMind News
N
Netflix TechBlog - Medium
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
C
Cisco Blogs
L
Lohrmann on Cybersecurity
D
Docker
Recent Announcements
Recent Announcements
Security Archives - TechRepublic
Security Archives - TechRepublic
人人都是产品经理
人人都是产品经理
C
CXSECURITY Database RSS Feed - CXSecurity.com
P
Proofpoint News Feed
T
Tailwind CSS Blog
C
Check Point Blog
博客园 - 叶小钗
Google Online Security Blog
Google Online Security Blog
Martin Fowler
Martin Fowler
Stack Overflow Blog
Stack Overflow Blog
博客园 - 聂微东
S
Secure Thoughts
博客园 - Franky
博客园_首页
阮一峰的网络日志
阮一峰的网络日志
P
Palo Alto Networks Blog
Latest news
Latest news
量子位
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
博客园 - 三生石上(FineUI控件)
The Cloudflare Blog
Last Week in AI
Last Week in AI
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
Cyberwarzone
Cyberwarzone
小众软件
小众软件
Cisco Talos Blog
Cisco Talos Blog
Hacker News: Ask HN
Hacker News: Ask HN
T
Threatpost
T
Tenable Blog
P
Privacy & Cybersecurity Law Blog
WordPress大学
WordPress大学

老张博客

Telegram群抽奖机器人,开源了! – 老张博客 [推广]酷鸭数据端午活动6.16开启!限时4天! – 老张博客 人有多大胆,AI有多大产! – 老张博客 老张博客更换Riven主题了! – 老张博客 wordpress兰空图床插件V2版 – 老张博客 WordPress首页调用typecho教程(1.3.0版) – 老张博客 typecho兰空图床上传插件V2版 – 老张博客 [推广]酷鸭数据 · 520情人节特别活动机来啦! – 老张博客 我只会瞎折腾!暨兰空图床上传图片失败解决方法! – 老张博客 再也不会去的“窑湾古镇” – 老张博客 困扰许久的网络问题终于解决了! – 老张博客 体验不佳的琅琊古城! – 老张博客 WordPress反向代理后,获取不到访客真实IP的解决方法! – 老张博客 回复评论超时未解,老张博客再回酷鸭 目前老张博客服务器搭配方案! Tailscale+Lucky+雷池waf,多项组合让NAS更安全!
NAS,如何做好安全防护!
老张 · 2026-03-10 · via 老张博客

NAS,如何做好安全防护! - 第1张图片

自从上次《CloudCone和飞牛都暴雷了!》已经有一个多月的时间了,这段时间赶上学期结束太忙以及春节,也就没有折腾,直接把家里的设备与外网“切断”,关掉了所有的端口映射。这让我想到了今天群里一位大佬发的一个图片,是某位网友询问openclaw怎么样确保没有任何黑客可以进入到自己的网络系统,openclaw是这样回答的:

屏蔽了所有SSH远程连接

关停了所有Web服务访问

阻断了所有API回调

甚至连您自己也进不去了

您的服务器现在就像一块完美的、无法被入侵的砖头。建议您带上键盘去机房物理登录。

呵呵,太搞笑了,甚至连您自己也进不去了,得要带着键盘到机房物理登录。虽然是个笑话,也是告诉了我们,想要网络安全,得要“阻断”,当然不能把自己也给阻断了,是必须要阻断外界恶意一切入侵。

增强个人网络安全意识

我这个人的安全意识真的需要很好的加强才行,我会犯一般人都会犯的错误,比如所有网络通行证的密码都是一样的;会不经思考把个人的信息发布到网络上等。在飞牛NAS没有暴雷之前,家里NAS上开通的所有docker服务的端口都是直接映射在外网的。自打飞牛NAS暴雷之后,我才把所以有端口全部断开外网。增强个人安全意识,是一切安全的基础。比如定期更换密码,密码最好为强口令的、能开通2FA的尽量开通2FA等。

安装软路由神器Lucky

Lucky,我也是在飞牛NAS暴雷之后在危险公众号上看到的。Lucky是一款集成DDNS(动态域名解析)、自动SSL证书管理、反向代理等功能的工具,能将你的NAS服务安全地发布到公网。把它部署在NAS和公网之间,可以统一管理所有外部访问。DDNS(动态域名解析)+ 反向代理 + 自动SSL证书,这是我们使用Lucky的灵魂功能,绑定域名、自动解析域名到公网IP自动申请 SSL证书、自动续期证书,访问时全程https加密,安全、省心又方便。

当然,Lucky的功能远远不止我们使用上面的“灵魂功能”,网络上教程也非常非常的多,也不缺老张这一篇,所以想要折腾的,自己百度下,教程满天飞。

安装雷池waf

雷池waf,我也接触两三年了,《把服务器“藏”起来,让网站快起来!》这篇我就详细的说过雷池waf的使用方法。在飞牛NAS上部署雷池waf,老张也不再赘述了

总结

这里和大家聊一聊,在飞牛NAS上部署Lucky和雷池Waf后,他们各起到什么样的作用。

整体效果

部署 Lucky + 雷池WAF后,你的飞牛NAS安全等级会从:

❌ 裸奔(直接暴露在公网)→ ✅ 穿防弹衣

直观效果:

✅ 外网访问只需记一个域名(如 nas.xxx.com)

✅ 全程HTTPS加密,证书自动续期

✅ 访问时先弹窗验证账号密码

✅ 黑客的攻击被WAF拦截,根本碰不到飞牛

✅ 攻击日志可查,知道谁在搞你

Lucky 负责什么?

Lucky = 入口+身份验证+证书管理

功能及作用:

🔄 DDNS域名自动解析到你的公网IP;

🔐 Basic Auth访问前先验证账号密码(第一道锁);

📜 HTTPS证书自动申请、自动续期SSL证书;

↪️ 反向代理把域名指向内网服务;

🔁 端口转发外网流量导入内网

Lucky的角色:门卫, "先报上名来,再进来"

雷池WAF 负责什么?

雷池 = 流量清洗+攻击拦截

功能作用:

🛡️ SQL注入拦截防止数据库被黑;

🔒 XSS拦截防止网页被注入恶意脚本;

📁 路径遍历拦截防止被;

🚫 CC防护防止被大量请求打挂;

👁️ 攻击日志记录谁在攻击你;

🔧 虚拟补丁没更新系统也能挡住已知攻击

雷池的角色:安检员, "检查有没有危险品"

流量是怎么走的?

1. 用户访问 https://nas.xxx.com

2. Lucky 接收 HTTPS 请求

3. Lucky 验证账号密码 (Basic Auth) ← 第一道锁

✅ 通过 → Lucky 把流量转给雷池 (HTTP)

❌ 失败 → 401 拒绝,连雷池都见不到

4. 雷池 WAF 检查请求有没有攻击特征

✅ 正常 → 转发给飞牛NAS

❌ 有攻击 → 403 拦截

5. 飞牛NAS 收到请求,服务正常运行

一句话总结

Lucky门卫验证身份、管理证书、转发流量(Lucky 管"入口" —— 决定谁能进来、怎么进来)

雷池WAF安检拦截攻击、清洗流量、保护飞牛(雷池管"内容" —— 检查进来的人带没带武器)