这是一个非常强大的功能,可以让您随时随地访问家里的文件、照片、视频,或者运行自己的网站、私有云等。安全是第一位的! 如果配置不当,您的NAS可能会成为黑客攻击的目标。

qnap 互联网访问nas
(图片来源网络,侵删)

我们将整个过程分为几个核心步骤,并附上详细的安全建议。

核心概念

在开始之前,您需要了解几个关键概念:

  1. 公网IP地址:这是您的家庭网络在互联网上的唯一地址,通常由您的互联网服务提供商(ISP,如电信、联通、移动)分配,您可以在路由器管理界面或通过搜索引擎搜索“我的IP”来查看。
  2. 动态IP vs. 静态IP:大多数家庭宽带使用的是动态IP,这意味着您的IP地址可能会在路由器重启或一段时间后改变,静态IP则不会改变,但家庭用户通常不提供或需要额外付费。
  3. 端口转发:您的家庭网络下可能有多个设备(电脑、手机、NAS等),它们都通过同一个公网IP上网,端口转发的作用就像一个“邮局分拣员”,它告诉路由器:所有发往“公网IP的特定端口”(如8080端口)的请求,都应该转发给局域网内的“特定设备”(如IP地址为 168.1.100 的QNAP NAS)。
  4. DDNS (Dynamic DNS):由于家庭IP是动态的,每次IP改变后,您之前设置的端口转发规则就会失效,DDNS服务(如No-IP、Dynu)可以为您分配一个固定的域名(myqnap.no-ip.org),并自动将这个域名与您当前变化的公网IP地址关联起来,这样,您就可以通过这个固定的域名来访问NAS,而无需关心IP是否改变。
  5. 端口:网络通信的通道,Web服务通常使用80/443端口,文件传输可能使用22/8080/8443端口等。

详细步骤指南

第一步:准备工作(极其重要)

在将NAS暴露到公网之前,请务必完成以下安全设置,这是保护您数据不被盗取的基石。

  1. 更改管理员账户名和密码

    qnap 互联网访问nas
    (图片来源网络,侵删)
    • 不要使用默认的 admin 账户。
    • 设置一个强密码(包含大小写字母、数字、特殊符号,长度至少12位)。

  2. 启用QNAP两步验证 (2FA)

    • 进入「控制面板」->「帐号总管」->「帐号」。
    • 选择您的管理员账户,点击「编辑」,在「安全验证」选项卡中启用两步验证,这可以极大增加账户安全性。

  3. 更新QNAP操作系统 (QTS/QTS) 和应用程序

    • 进入「控制面板」->「系统与更新」->「QTS 固件更新」。
    • 将所有可用的系统更新和套件中心的应用更新全部安装,新版本通常包含最新的安全补丁。

  4. 修改默认的管理端口(强烈推荐)

    • 进入「控制面板」->「安全性」->「安全防护」。
    • 在「安全防护」页面,找到「管理连接端口」选项,将其从默认的 4438080 修改为一个不常用的端口号(8888),这样可以有效防止自动化扫描攻击。
    • 注意:修改后,您需要通过 https://<您的IP>:8888 来访问QNAP的网页界面。

  5. 禁用不必要的网络服务

    qnap 互联网访问nas
    (图片来源网络,侵删)

    在「控制面板」->「网络与文件共享」中,关闭您不使用的服务,如 AFP、SMB v1 等,只开启您需要的协议。

第二步:配置QNAP NAS

  1. 设置DDNS客户端

    • 进入「控制面板」->「外部访问」->「DDNS」。
    • 点击「新增」。
    • 服务提供商:选择一个免费服务商,如 No-IP、DuckDNS 等。
    • 主机名称:输入您在服务商处注册的域名(myqnap.ddns.net)。
    • 用户名/密码:输入您在该DDNS服务商注册的账户凭证。
    • 应用:点击「应用」。
    • 现在QNAP会定期检查您的公网IP,并在变化时自动更新到DDNS。

  2. 启用并配置QuickConnect

    • QuickConnect是QNAP官方提供的一种便捷访问方式,无需自己设置端口转发和DDNS。
    • 进入「控制面板」->「外部访问」->「QuickConnect」。
    • 勾选「启用QuickConnect」。
    • 按照提示完成账户绑定和设置。
    • 之后,您可以通过 https://quickconnect.to/<您的QuickConnect ID> 的方式访问NAS。
    • 优点:简单易用。
    • 缺点:速度可能受限于QNAP的服务器,且功能上可能不如直接端口转发灵活。

  3. 配置端口转发(核心步骤)

    • 在QNAP上启用服务
      • 如果您想通过网页访问QNAP管理界面,确保在「控制面板」->「安全性」->「安全防护」中,您已经为Web管理界面配置好了端口(8888)。
      • 如果您想访问文件共享,需要在「控制面板」->「共享文件夹」->「iSCSI与SAN」中,启用「透过网络连接埠存取」,并设置一个端口(445)。
      • 如果您想使用QNAP的Hybrid Sync(同步)或Chuwi(云)应用,请在「控制面板」->「外部访问」->「连接埠转译」中,为这些应用开启相应的端口。
    • 在路由器上设置端口转发
      • 登录您的路由器管理界面(通常是 168.1.1168.0.1)。
      • 找到「端口转发」、「虚拟服务器」或「NAT转发」等类似功能的菜单。
      • 规则名称:自定义,如 QNAP_HTTPS
      • 外部端口:输入您希望从互联网访问的端口(8888)。
      • 内部IP地址:输入您QNAP NAS的局域网IP地址(168.1.100)。建议为NAS设置一个静态IP地址,以防止IP改变导致规则失效。
      • 内部端口:输入QNAP上对应服务实际监听的端口(8888)。
      • 协议:选择 TCP(如果是 HTTPS,则必须选 TCP)。
      • 启用:保存并启用此规则。
      • 为多个服务重复此操作:为文件共享(445)、FTP(21)等分别创建规则。

第三步:通过互联网访问

完成以上设置后,您就可以从互联网访问您的QNAP了。

  1. 使用DDNS域名访问

    • 打开浏览器,输入 https://<您的DDNS域名>:<外部端口>
    • https://myqnap.ddns.net:8888
    • 浏览器可能会提示“不安全”,这是因为您使用的是自签名证书(这是正常的家庭环境配置),点击“高级”或“不安全”,然后选择“继续访问”。

  2. 使用公网IP访问

    • 如果您的公网IP是静态的,或者您刚刚重启了路由器还没变,可以直接输入 https://<您的公网IP>:<外部端口>
    • https://123.45.67.89:8888

  3. 使用QuickConnect访问

    • 直接访问 https://quickconnect.to/<您的ID>

⚠️ 重要安全警告与最佳实践

  1. 永远不要使用默认端口:将 80, 443, 22, 445 等常见端口修改为不常用的端口,这可以避免80%以上的自动化攻击。
  2. 使用HTTPS:QNAP默认提供SSL加密,确保您始终通过 https:// 访问,而不是 http://,QNAP可以生成免费的Let's Encrypt证书,在「控制面板」->「安全性」->「SSL/TLS加密」中设置。
  3. 关闭不必要的端口:只开放您确实需要使用的端口,如果您不需要FTP,就不要开放 21 端口。
  4. 启用QNAP的防火墙
    • 进入「控制面板」->「安全性」->「防火墙」。
    • 启用防火墙,并只放行您已配置的端口。
  5. 警惕NAS勒索软件:不要从不可信的来源下载安装应用,并保持系统和应用为最新版本。
  6. 定期备份数据:这是最重要的最后一道防线,即使NAS被入侵,您也可以从备份中恢复数据,请开启QNAP的Hybrid Backup Sync,将重要文件备份到另一台NAS、云存储或硬盘中。
访问方式 优点 缺点 适用场景
端口转发 + DDNS 功能最全、速度最快、最灵活 配置相对复杂,需要自行负责安全 需要从电脑或专业软件访问NAS,进行文件传输、运行Docker等高级应用。
QuickConnect 配置最简单,无需路由器设置 速度可能较慢,功能受限,依赖QNAP服务 临时从手机或平板快速访问文件,进行简单的文件下载。

对于大多数有一定技术能力的用户,强烈推荐使用「端口转发 + DDNS」 的方式,并严格遵守所有安全配置步骤,对于只想简单分享文件的普通用户,QuickConnect 是一个不错的起点,但仍需做好基本的安全设置(改密码、开2FA)。