知识库 / 群晖葵花宝典 / 网络与安全 /

网络配置与安全加固

DDNS 配置

群晖提供免费 DDNS 服务:

  1. 控制面板 > 外部访问 > DDNS
  2. 点击"添加",选择群晖提供的域名(如 yourname.synology.me
  3. 设置主机名,启用自动更新 IP

也可以使用第三方 DDNS:

  • Cloudflare(推荐,免费且稳定)
  • 阿里云 DNS(国内速度快)
  • DNSPod(腾讯云)

Cloudflare DDNS 脚本示例

#!/bin/bash
# cf-ddns.sh - Cloudflare DDNS 更新脚本
ZONE_ID="your_zone_id"
RECORD_ID="your_record_id"
CF_TOKEN="your_api_token"
DOMAIN="nas.yourdomain.com"

IP=$(curl -s https://api.ipify.org)
curl -s -X PUT "https://api.cloudflare.com/client/v4/zones/$ZONE_ID/dns_records/$RECORD_ID" \
  -H "Authorization: Bearer $CF_TOKEN" \
  -H "Content-Type: application/json" \
  --data "{\"type\":\"A\",\"name\":\"$DOMAIN\",\"content\":\"$IP\",\"ttl\":1,\"proxied\":false}"

SSL 证书

HTTPS 加密是远程访问的必备条件:

  • Let’s Encrypt:免费,自动续期(群晖内置支持)

    • 控制面板 > 安全性 > 证书 > 新增证书 > 从 Let’s Encrypt 获取
    • 需要先配置好 DDNS 和端口转发(80/443)

  • Cloudflare Origin Certificate

    • 免费 15 年有效期
    • 配合 Cloudflare 代理使用
    • 不需要开放 80 端口

防火墙策略

群晖防火墙配置:

  1. 控制面板 > 安全性 > 防火墙
  2. 启用防火墙
  3. 创建规则:
规则 端口 来源 动作
DSM Web 5000/5001 指定IP 允许
HTTPS 443 所有 允许
SSH 22 指定IP 允许
Docker 按需 本地 允许
其他 - 所有 拒绝

原则:只开放必要的端口,SSH 仅允许信任 IP 访问。

安全加固清单

  • 禁用默认 admin 账户(安装时已处理)
  • 启用自动更新(控制面板 > 更新和还原 > 自动更新)
  • 启用防火墙
  • 启用 2FA 双因素认证(控制面板 > 安全性 > 账户)
  • 修改 DSM 默认端口(5000 → 其他)
  • 禁用 SSH 密码登录,仅允许密钥认证
  • 定期检查登录日志(日志中心 > 连接日志)
评论

评论功能基于 Giscus(GitHub Discussions)——在 repo 启用 Discussions 后,到 giscus.app 获取仓库 ID 填入 src/_data/site.json 即可启用。