QNAP NAS 安全設定指南

本安全指南將協助您深入瞭解 QNAP NAS 的安全配置與保護機制，全面強化網路與資料防護。

下載完整版 Security Guide

安全的網路架構及設定

1. 正確架設 NAS

讓 NAS 的網路埠直接連到網際網路，就是不安全。首先，請務必確認您的 NAS 是連接到路由器 (Router) ，再透過路由器連接到網路服務供應商 (ISP) 提供的數據機 (Modem) 及對外網際網路。在正確的設定下，路由器可以為你阻擋來自網際網路的惡意連線，降低網路攻擊風險。

正確連接方式 - NAS 連接至路由器之後

錯誤連接方式 - NAS 直接至 Modem 之後

2. 正確設定路由器

您能登入路由器或請您的網路服務商協助您檢查並關閉以下三個設定，否則您的 NAS 可能會暴露於外網：

關閉 UPnP
關閉 DMZ

(Demilitarized Zone, 非軍事區域)
關閉 Port Forwarding

(通訊埠轉送)

路由器關閉 Port Forwarding，NAS 是不是無法從外網連線了？不用擔心，您可以使用 QNAP 提供的 myQNAPcloud Link 進行安全外網連線。您也可以在路由器或 QNAP NAS 開啟 VPN 伺服器功能。

如何檢查 NAS 是否暴露外網
方法一：安裝 Security Center，並點擊 Security Checkup，如發現 “The System Administration service can be directly accessible from an external IP address via the following protocols: HTTP” 的警示文字，代表您的 NAS 正暴露於外網。
方法二：將 NAS 的 IP 位址輸入線上查詢工具（https://whatismyipaddress.com/），即可查詢 NAS 是否暴露於外網

4 種 NAS 外網連線方式

連線方式	優點	缺點	適合的使用者
在路由器開啟及設定 DMZ/Port Forwarding of UPnP	連線速度最快	容易受到網絡攻擊對 0-Day 弱點攻擊沒有防禦能力	清楚了解相關風險對網路設定熟悉已為重要數據建立多個備份擁有災難復原檔案
在路由器開啟 VPN 伺服器功能	設定相對簡單	欠缺登入失敗通知、自動封鎖及防火牆功能支援的VPN 協定較少效能受限於路由器硬件	對網絡設定不熟悉對傳輸速度要求較低
在 QNAP NAS 開啟 VPN 伺服器功能	支援多種VPN 協定可搭配NAS 基本防火牆(QuFirewall) 支援登入失敗通知及自動封鎖功能	設定略為複雜	對網路設定熟悉經常需要從互聯網存取大量檔案
使用 myQNAPcloud Link 全連線功能	設定最簡單支援存取控制功能 NAS 完全不需要曝露互聯網	連線速度較慢	對網路設定不熟悉低頻率從互聯網存取NAS 無法取得WAN IP 地址的網絡環境
使用 SD-WAN 或 Site to Site VPN 產品	設定完後, 內聯網使用者即可無感使用同時支援 Client-to-Site VPN	需要增購額外設備	需要多點存取及遠端備份需要加值應用

3. 啟用自動更新

QNAP 不定期進行安全性、韌體及軟體更新，啟用自動更新能確保 NAS 在第一時間取得新功能、修正問題及弱點。

由內到外，層層把關

QNAP 提供完善的 NAS 連線保護及災難復原計畫，搭配系統安全性評估與內網威脅分析，打造分層式資安管理。

閱讀 Blog：建構企業的多層次資安防禦體系

強化帳戶安全性

1. 停用預設管理員帳戶 "admin" 帳戶

採用暴力破解密碼的攻擊者一般會針對性攻擊預設的管理員帳戶「admin」。我們建議用戶停用預設 admin 帳戶，重新建立並指定管理員帳戶。

知道更多：如何停用 admin 帳戶

內建 QTS 5.0.1 / QuTS hero h5.0.1 (或更新) 之機種，系統已預設 admin 帳號停用

2. 啟用存取保護 (IP / 帳號)

「IP 存取保護」及「帳號存取保護」可以防止密碼被暴力破解，當特定 IP 或帳號登入失敗次數過多即會觸發 IP 封鎖或帳號停用，阻止攻擊者嘗試密碼。

3. 啟用多重要素驗證 (MFA)

我們呼籲為您所有的使用者帳號設定無密碼登入或兩步驟驗證。多一份登入驗證步驟，獲得雙重保障。

知道更多：安全登入與多重要素驗證 (MFA)

4. 停用 Telnet / SSH 功能

如非專業人員，強烈建議關閉「Telnet」及「SSH」功能。這兩個功能一般是供 QNAP 客服或專業 IT 人員維護系統使用，一般的用戶並不需要使用這個功能，因此建議保持關閉狀態。

啟用快照排程

當 NAS 遭受攻擊時，您可以還原快照檔案，找回被加密的數據。建議設定排程快照，並設定快照刪除原則，保護您的資料安全同時保障可用儲存空間。

開啟「儲存與快照總管」，選定磁碟區後，開啟「快照管理員」

點選「排程快照」，建議排程設定為「每日」或「每週」

建議啟用「智慧型版本控制」，可以設定快照保留原則來限制快照數量，避免快照檔案佔用過多空間

NAS 的「儲存空間」是「儲存池」架構，且「儲存池」需有足夠的可用空間供快照功能正常運作。請啟用智能快照空間管理，並選用精簡配置磁碟區 (Thin Volume) 以維持 NAS 與快照功能正常運作。

Security Center - QNAP NAS 安全中心

為 NAS 進行安全風險評估，主動分析與監控 NAS 系統狀態、異常檔案活動與潛在的網路安全威脅，協助您採取立即保護措施；更整合防毒軟體與掃描惡意程式的應用程式，確保 NAS 環境安全無虞。

打開「Security Center」，選擇您想要的安全性等級，接著按下「立即掃瞄」。

掃描後，若產生具有風險的掃瞄結果，您可以按「建議設定小幫手」協助您調整設定。

「掃瞄排程」建議設定成最少一個月一次，讓系統定期檢查設定及系統狀況。如果通知中心已完成正確設定的話，您將會接收到相關的通知以便及早處理。

「異常檔案活動監控」主動偵測 NAS 不尋常的檔案異動量，您可透過圖表快速掌握特定時間區間內的檔案平均異動量。

QuFirewall - QNAP NAS 專用防火牆

QuFirewall 可根據用戶規則，協助阻擋並封鎖來自跳板與洋蔥路由 (Tor) 的可疑封包，同時每天偵測與動態更新惡意封包封鎖清單，確保 QNAP 裝置安全性。

打開「QuFirewall」進入初始畫面。如無特殊的需要，建議選擇「基本防護」，然後按「下一步」繼續。

依你的所在地，設定一個地區。這將有助於 NAS 阻擋來自未知區域的可頤連線。您也可以後續新增更多地區。

進入 QuFirewall 的管理頁面，可以看到「Basic protection」已經啟用。按下「Basic protection」，即可展開及查看對應的防火牆規則，規則是依據傳入的封包的資訊作檢查，並依防火牆規則允許通過或阻擋。

Malware Remover

Malware Remover 可定時掃描您的 NAS 是否受到惡意軟體影響，並在偵測到受感染的檔案後立即清除之，並與QNAP 安全中心連線，以第一時間獲得病毒定義檔，幫助NAS 降低風險。

打開「Malware Remover」，可以查看到上一次掃瞄的狀況，點選左側的「設定」進入設定畫面。

「掃瞄排程」建議設定成每天一次，讓「Malware Remover」定期檢查系統狀況。另外請確保「Malware Remover」自動更新功能保持打開。

設定警示通知

您可以於 Notification Center 通知中心設定以電子信件、簡訊或推播等方式，通知您包括系統安全性或硬碟健康警示等訊息，或是設定「韌體更新」通知，讓您隨時掌握 NAS 系統狀態並即時採取行動。以下以「電子郵件」的設定為例。

打開「通知中心」，左方選單點選「服務帳號與裝置配對」，選擇「電子郵件」，再點選「新增 SMTP 服務」

填入您的電子信箱帳號，並按指示完成信箱的認證過程。

於「通知中心」左方選單點選「系統通知規則」，選擇「警示通知」，再點選「建立規則」。

按自己的需要修改「規則名稱」，勾選「警告」及「錯誤」兩個嚴重性層級，然後按「下一步」後即可完成設定。

建議用戶訂閱 QNAP 資安通報，掌握第一手資安訊息！

立即訂閱如何看懂資安通報安全漏洞獎勵計畫

FAQ

NAS「斷網」是否會比較安全？

不是。NAS「斷網」一般是指切斷 NAS 對外發起連線的能力。雖然有部分惡意軟件需要對外連線才能執行，但仍然有不需要對外連線也能執行的惡意軟件能成功進行惡意行為。因此，此舉不但無法阻止攻擊者進行不法行為，更會讓部分系統功能無法正常運作，例如是軟體自動更新功能及通知功能。正確的做法是限制連向 NAS 的流量，如避免曝露在互聯網上，方能提高安全性。

我的硬碟設定了 RAID，是否不需要備份？

不是。RAID 只能避免資料因硬碟故障而造成損失，所以他並不是一種備份方式。對於資料被刪除、誤改或被加密，是完全沒有保護能力的。因此建議以備份 3-2-1 原則去妥善備份數據。

我已經設定了「快照」，是不是不需要備份？

不是。因「快照」是跟你的數據儲存在同一組硬碟上，因此假如出現RAID 故障等情況，數據依然是會丟失的。此外，如攻擊者能取得足夠的權限（如攻擊者成功破解管理員帳戶），「快照」也有被刪除的可能性。因此建議以備份 3-2-1 原則去妥善備份快照檔案。

我的 NAS 沒有曝露於互聯網，是不是不可能受到攻擊？

不是。雖然大部分網路攻擊是來自互聯網，但是 NAS 在內聯網仍然存在被攻擊的風險。例如你內聯網的電腦或其他裝置被入侵或安裝惡意軟體，受感染的裝置也有機會攻擊內聯網的其他裝置，於內聯網擴散。在電腦上安裝防毒軟體及部署網路安全產品能有助你應對相關威脅。例如是 QNAP ADRA NDR，具備偵測內聯網可疑活動能力及自動隔離功能。同時也建議以備份 3-2-1 原則去妥善備份數據。

我的 NAS 已經使用了一段長時間，我應該如何檢查有沒有被安裝惡意程式？

如發現處理器負載異常升高，軟體更新功能失效或 App Center 存在不明套件等情況，都有可能是被安裝了惡意程式。建議先手動安裝新最版本 Malware Remover 進行掃瞄。如仍然無法解決，請即聯絡 QNAP 技術支援團隊取得協助。

如果我有必要開放部分服務到互聯網，我應該如何設定才能保障安全？

請先確保 NAS 已安裝最新版本的韌體及套件。你可以啟用 QuFirewall 以提供基本的防火牆防護，當中的「PSIRT」及「TOR」規則能助你阻擋部分攻擊者連線。如需強化防禦能力，建議採購專業的防火牆設備。另外，如儲存池空間許可，可建立「快照」作基本的資料保護；也建議以備份 3-2-1 原則去妥善備份數據，為最壞的情況作準備，避免損失。

我的 NAS 已經 EOL 及無法取得最新版本 QTS，還可以安全地使用嗎？

已經 EOL 的機種只能獲得有限度的支援，因此只建議限制於內聯網使用及妥善備份，以保安全。

為什麼我會一直收到 NAS 登入失敗的警告？

如登入失敗的 IP 地址來自互聯網，代表你的 NAS 正遭受暴力破解密碼攻擊，請避免曝露 NAS 在互聯網上，及依照本教學提高 NAS 防護能力。如登入失敗的 IP 地址來自內聯網，請檢查該 IP 地址的裝置是否被安裝惡意軟體。

為什麼我的檔案都變成奇怪的附檔名？

這通常是已經不幸感染了勒索病毒。你可以透過檢查 NAS 存取記錄去判斷加密動作是來自其他電腦還是 NAS 本機，再作適當的處理。如有需要，請聯絡 QNAP 技術支援團隊取得協助。

如果我的 NAS 感染了勒索病毒，應該如何處理？

因勒索病毒大多採用無法破解的加密方式，如沒有正確的金鑰是無法解鎖檔案，因此只能用備份或快照還原檔案。
請立即依本教學修改路由器設定，避免曝露 NAS 在互聯網上，避免被二次攻擊。其次，應立即暫停所有同步任務以及將快照設定成永久保留，避免失去備份檔。如你的數據有備份或有可供還原的快照，你可以在更新 NAS 韌體和套件後及完成 Malware Remover 掃瞄後，再還原檔案。如果數據沒有備份的話，請先備份勒索病毒留下的勒索信及支付贖金的方法，再嘗試使用數據救援 (Data Recovery) 等方式嘗試救回部分數據。如有需要，請聯絡 QNAP 技術支援團隊取得協助。

我不斷看到有媒體報導 QNAP 產品修正弱點的新聞，是不是代表 QNAP 產品並不安全？

世上沒有完美的軟體和硬體，不論是各廠商自行開發的軟體或開源軟體，甚至是硬體，都一直被發現弱點，再由廠商修補。QNAP 跟各大科技同業一樣持續修正已知的弱點，再盡快發佈更新檔供使用者更新，以保障使用者的裝置及數據安全。QNAP PSIRT 並會在合適的時間發出資安通報對外披露，讓使用者可以有所行動。QNAP 認為公開透明處理弱點，能保障使用者的知情權及有助改善產品安全性，也建議使用者訂閱 QNAP 資安通報，搶先在媒體報導前取得相關、正確及完整的資訊。

什麼是備份 3-2-1 原則？

備份 3-2-1 原則是資訊科技業界公認的備份原則，為最壞的情況做好準備，一旦災難發生時，也有備份檔可以恢復數據，避免損失，保障安全。
備份 3-2-1 中的「3」是指備份最少要有三份；「2」是指最少兩種儲存媒介；而「1」是指最少一份是異地備份 (Offsite Backup)。
基於備份 3-2-1 原則，不論是誤改、誤刪、硬件損壞、中毒、災難如火災、水災等，都會有備份檔可以還原。
要達到這個原則，可以利用 QNAP 提供的 Hybrid Backup Sync 3 (HBS3) 套件、Snapshot Replica 或 SnapSync ( 僅 QuTS hero 支援) 等功能，將 NAS 上的重要數據備份到異地 NAS、公有雲端、外置儲存裝置、其他檔案伺服器等，確保萬無一失。

儲存

網通

擴充配件

監控

NAS

網通

監控