我最近购买了用于个人文件存储的网络附加存储,并希望我的家人将文件从他们的计算机存储在设备上作为远程备份。
我想保护用于同步文件的端口,以便只有他们的计算机可以访问。该解决方案应该易于他们每天实施和使用。我相信备份文件应该是简单、无缝和自动的。这些文件中的大多数是媒体(图片、家庭电影等)。将文件备份到基于云的替代系统不是一种选择。
我的问题是这些计算机中的每一个都有动态 IP 地址,所以它不像设置防火墙那样简单,只允许来自少数几个 IP 地址。他们不会经常改变,但他们确实会改变。
我正在运行连接到 NAS 的基于 DDWRT 的(标准)路由器,因此我可以在需要时添加自定义防火墙规则或运行脚本。对于这个问题,运行服务的端口是 TCP 5678。安全访问 NAS 的最佳解决方案是什么?
可能的解决方案:
我创建了一个简单的图表来显示我的设置。
答案将取决于协议/应用程序。基本上,如果您可以使用安全隧道或 VPN 解决方案,您将拥有非常好的安全性。有人可能能够敲击端口,但如果没有凭据(如果可以的话,还需要证书),他们将无法连接。
您可以尝试使用Hamachi、TeamViewer或OpenVPN之类的工具设置一个简单的 VPN 。一旦为您的家人设置了证书和密码,您就可以允许他们使用任何现有协议或访问网络共享(尽管出于性能原因,我不建议仅使用 Internet/WAN 上的网络共享)。
使这相对容易的一种解决方案是使用任何允许您通过 SFTP 在本地安装驱动器的软件。他们为各种操作系统提供免费和商业解决方案(例如,SFTP Net Drive、OSX Options、google for others)。如果您只是希望他们能够删除文件,这是一个很好的轻量级解决方案,因为您可以将其设置为他们网络上的另一个驱动器,并且由于它的 SFTP 与其他解决方案相比,开销更少。当然需要注意的是,他们要么在每次加载文件时都需要输入密码,要么需要将其存储在他们的系统上,但这可能是任何用户友好的问题。你也可以编写一些脚本。
如果您在 VPN 级别有密码和证书,并让您的防火墙管理您的 VPN,这将最大限度地减少暴露,但可能是不必要的(只是因为人们扫描我的 SSH 服务器,他们不会继续,因为他们没有证书 +证书)。
对于纯粹的自动备份,我会查看CrashPlan 的一些免费 P2P 功能。其他备份工具通常也具有 SFTP 连接选项,您可以在其中使用增量、差异、增量等进行传统的定期文件备份。
未附上您的网络图。
我会在您要备份的每个远程工作站上下载No-Ip 。为他们所有人分配一个主机名,然后将主机名用于您的防火墙规则以允许访问。根本不建议为 ISP 网络设置防火墙规则。
服务运行的端口无关紧要。端口不提供安全性,设备和传输协议(HTTPS、SSH、SFTP)提供安全性。
至于备份,您可以使用 PowerShell 或批处理文件进行备份,并将其设置为计划任务以备份他们的计算机。您可能需要使用 SFTP 进行文件传输,这需要您在脚本中硬编码密码。这根本不是一种非常安全的方法,但在自动化的玩笑中,这是必须的。
我会使用 Duplicati ( http://www.duplicati.com/ ) 将文件 SFTP 到 NAS。您可以为每个备份设置单独的共享,以隔离密码泄露时的风险。使用动态 DNS 设置您的 NAS,并让客户端将数据推送到 NAS,这样您只需要担心您的 IP 地址,而不必担心他们的 IP 地址。Duplicati 还可以进行加密和增量备份。
此外,如果您决定使用 Duplicati,请确保选择 SSH 选项,而不是 FTP 选项来执行 SFTP。这样很奇怪。