企业官网建设流程全解析

这几天小白感觉都快被飞牛NAS的0day漏洞刷屏了……小白这飞牛都已经关机好久了，今天随便看了一下，发现这个事情还挺严重的，不过大部分小伙伴可能都没看懂，这里小白稍微解释一下：

“路径穿越+命令注入”复合型0day漏洞：该漏洞的危害性极高，使得HTTPS、强密码认证及防火墙策略等常规防御机制完全失效，为攻击者敞开了直接读取任意文件、并获取系统命令执行权限的大门。

很多小伙伴可能都看不懂这段文字，这就开始咱们今天要聊的内容！

正文开始

只要能被扫到就有安全风险

这意味着不管咱们是已经部署好了SSL证书、做了强密码认证、开启防火墙且仅开放一个端口作为web的访问入口都好，只要做了公网DDNS/Lucky或者是FnConnect（下面简称“fnc”），只要在公网状态下能被扫到，都挡不住。

什么叫公网状态下能被扫到？也就是任意一台设备通过任意网络都能通过域名访问到咱们的设备，就意味着会被扫到。

嗯……还是有点没看懂？那把域名比做家里的地址，把地址贴在公告栏上，任意一个小偷都能看到这个地址，这时候咱们慌不慌？

当然，这并不是说被扫到就一定中招！首先咱们需要赶紧把飞牛更新到最新的系统版本。

另外就是停止FnC的使用，因为飞牛NAS自带的FnC一共就那几个域名，用枚举法都能把某些小伙伴的飞牛NAS域名扫出来，特别是那些设置得很简单的，比如abc123前缀的，简单的英文+数字组合很容易就枚举出来了。

另外就是前几天申请的那种免费域名，风险其实还挺大的，小白这才部署了几天，扫描就有几千次。

其中只有几次是来自广东的IP，其他的都是些什么情况，自己看图：

整得小白赶紧把飞牛的IPv6关了，Lucky的动态解析也关掉了。

使用公网或者fnc转发方案的小伙伴，一定要部署好SSL证书、开启防火墙且减少暴露端口、更改web访问的端口5666/5667为其他、强制HTTPS、开启二次验证、开启多次验证错误进黑名单等方式，还有及时更新系统。

但是这样的方法依旧不是很保险，因为只要暴露在公网下，风险依旧在。

那么如何才能在异地状态下安全访问NAS呢？

异地安全访问NAS的方案

只有在公网下扫不到设备，才是第一步的安全。最坚固的堡垒，往往从让敌人找不到大门开始。

小白自己使用的异地方案日常仅有虚拟局域网：节点小宝+Zerotier。

虽然说这两个方案都很安全，但是使用Zerotier方案，流量有时候会到外国溜达一圈再回来，且有时候延迟很大，P2P不通的情况比较多。

所以小白自己使用的方案比较多的是节点小宝。

第一重防护：网络“隐身术”，从根源上杜绝扫描

节点小宝组网不依赖固定的公网IP和开放的端口：当你通过节点小宝组建虚拟网络时，你的设备（如家中NAS）并不会在公网上留下一个固定的、可被扫描到的入口。

设备之间的访问通道建立完全依赖于节点小宝客户端之间动态的、加密的“握手”协议。

第二重防护：“私密对讲机”通道，数据不经过他人之手

传统的中继转发或某些公共VPN服务，数据需要经过第三方服务器，这意味着你的“家书”交给一个陌生的邮差传递，途中有多少环节存在风险。

小白仔细研究了节点小宝的安全方案： “零信任”网络策略 与 P2P（点对点）直连技术：

• 零信任分发“对讲机”：每次咱们的设备异地访问家里的NAS时，节点小宝都会像分发一对独一无二的、经过严格身份认证的 “加密对讲机” 给双方。

• 建立私密P2P通道：设备间使用这对“对讲机”尝试建立一条直接且端到端的加密通话线路，咱们所有的数据都在这条专属线路上直接传输。

• 流量不经第三方：“通话”完全建立在咱们两台设备之间，数据流量不经过任何第三方服务器中转，从物理路径上就避免了数据在中间节点被监听、截获或篡改的风险。

第三重防护：“一次一密”的动态锁，为传输穿上防弹衣

假设咱们的设备在数据传输中存在理论上的流量劫持风险（比如在不安全的网络下），节点小宝的安全方案是：“一次一密”的动态密钥协商机制，并配合军用级别的256位强加密算法。

• 一次一密的动态密钥：咱们的每一次会话、甚至会话中的不同阶段，所使用的加密密钥都是临时动态生成的，且完全不同。咱们在每次通信都使用一把全新的、全球唯一的复杂密码锁，用完后就销毁。

• 256位加密：数据以目前商业级最高强度的256位加密算法上锁。在没有密钥的情况下，劫持者想要破解加密内容也会特别困难（至于多困难，你可以试试！）

--End--

动态解析公网IP确实体验很爽，但是如果真的考虑到设备安全问题，建议日常访问NAS还是用虚拟局域网吧！

用节点小宝构建一个由三层核心优势组成的“安全铁三角”：

1. 网络层隐身：无公网IP暴露，零端口开放，让攻击者无从发现。

2. 通道层私密：P2P直连，端到端加密，让数据不流经他手。

3. 数据层铁壁：动态密钥，一次一密，让截获内容毫无意义。

咱们没心思成为网络安全专家，去折腾复杂的防火墙规则。不如把专业的事交给专业的人和专业的方案，从根本上杜绝安全风险才是正解。

推荐阅读

榨干每一兆带宽，用上节点小宝的NAS实测速度竟然这么快！还免费！

无需公网IP，2步搞定设备间异地访问互联

无需公网IP，使用节点小宝让设备异地互联的进阶玩法

0门槛打造跨端异地影视站：飞牛影视+节点小宝异地流畅看4K，远程视频全攻略！

从质疑到真香：小白使用「飞牛NAS」+「节点小宝」的花式操作

让两个不同地域的局域网互联？把电脑A的硬盘挂到电脑B？

异地访问NAS最好的方案是什么？

告别IP和端口！一个「快捷访问」让飞牛NAS服务跟你走

网络进阶教程：仅部署一个中心节点，即可访问局域网内所有设备