什么是UPnP自动连接埠转发,安全吗
UPnP 为通用随插即用(Universal Plug and Play)的网路协定,是只要一组设定就能快速将正在使用的连接埠转发到网路上其他设备的配置方式。UPnP 自动连接埠转发被广泛应用在各种网路设备,让不同的设备能更有效率的互相沟通,并自动建立工作组态以进行资料分享等应用。
UPnP 自动连接埠转发安全吗?
从资安角度来看,UPnP 不算是一个安全协议,它使用网路 UDP Multicast 群组通信,没有经过加密,也没有认证。由于 UPnP 没有经过认证,一台装置可以对另一台装置要求自动连接埠转发,骇客可以利用 UPnP 的漏洞透过恶意档案进行攻击,感染系统并获取控制权。虽然 UPnP 很便利,但也会让装置在公用网路上公开,使装置更容易遭受恶意攻击。
建议的安全连线方式
我们呼吁 NAS 使用者将 QNAP NAS 布建于路由器及防火墙后方后面,且不取得公开 IP 位址。您也应停用手动连接埠转发、自动连接埠转发。您可以使用 QNAP 提供的 myQNAPcloud Link 服务,远端安全存取 QNAP NAS。由于此服务使用中继转发,因此存取速度可能稍慢。
或者,您可开启路由器或分享器的 VPN 伺服器功能。当您需要透过网际网路存取 QNAP NAS 时,先连接到路由器上的 VPN 伺服器,再安全连接到您的 QNAP NAS。其他远端存取方法包括在 QNAP NAS 上安装QVPN Service并启用 VPN 伺服器,或布署 QNAP 开发的 QuWAN SD-WAN 网路优化解决方案。
需要向网际网路开放通讯埠时,建议采取安全连线设定
针对需要向网际网路开放通讯埠的状况,建议您采取以下系统设定及配置,确保连线安全:
- 将 QNAP NAS 安装在路由器和防火墙后面,不允许 QNAP NAS 取得公开 IP 位址。关闭 QNAP NAS 的 UPnP 功能,并仅针对特定 QNAP NAS 服务所需的连接埠,启用手动转发。
- 若不使用 Telnet、SSH、网站伺服器、SQL 伺服器、phpMyAdmin 及 PostgreSQL 等服务,请加以停用。
- 在网际网路端避免使用预设连接埠编号,例如:80、443、8080、8081。请改用自订/随机的连接埠编号,例如:将 8080 改为 9527。
- 仅使用 HTTPS 加密连线,或其他加密连线,例如: SSH。
- 在 QNAP NAS 安装 QuFirewall,并仅允许指定区域或网段的 IP 位址进行连线。
- 建立一个新的管理员帐户,并停用预设管理员帐号(admin)。
- 所有使用者均应使用高强度的密码,包括您在上一步所建立的新管理员帐户。
- 在 QNAP NAS 启用多重要素认证或两步骤验证。
- 启用作业系统及 App 自动更新。
- 使用 IP 存取保护功能,拒绝登入失败次数过多的 IP 位址。
- 上一篇
Qsync是什么【基于云的文件同步服务】
Qsync 是威联通 QNAP 推出了个人及团队协作都好用的跨设备文件同步应用,方便地在威联通 NAS 及绑定设备间进行文件同步,适用于 PC 主机、笔记本电脑与移动设备。可在所有设备上存取实时数据,并轻松分享给工作团队或家庭
- 下一篇
为何需要购买myQNAPcloud SSL凭证
myQNAPcloud SSL 凭证用于建立网页浏览器和 QNAP NAS 之间的安全通道,服务器身份鉴别,以及数据传输加密;可有效确保 QNAP NAS 和网页浏览器之间所有传输数据的安全。当您尚未使用 myQNAPcloud SSL 凭证,而仅以 HTTPS 协定