Synology NAS 三層防護實作:2FA、防火牆、Tailscale VPN 完整設定
資安的核心概念叫「縱深防禦」——不依賴單一防護,而是多道關卡讓攻擊者每一步都要付出代價。
對家庭 NAS 來說,三層防護就夠了:
- 2FA:帳號就算密碼外洩,沒有驗證碼也進不來
- 防火牆:控制哪些來源可以連到 NAS
- Tailscale VPN:讓 NAS 完全不對外暴露
這篇帶你把三個都設定好。
🎯 這篇適合誰
| 你的情況 | 建議先看哪段 |
|---|---|
| 想先設 2FA | 第一層:雙因素驗證(2FA) |
| 想設定防火牆規則 | 第二層:防火牆設定 |
| 想用 VPN 加強保護 | 第三層:Tailscale VPN |
| 只想看結論 | 三層防護架構總結 |
| 遇到問題 | 常見問題 |
第一層:雙因素驗證(2FA)
為什麼 2FA 比強密碼更重要
強密碼很好,但密碼可以洩漏——釣魚、資料庫外洩、間諜軟體都可能讓你的密碼落入別人手裡。
2FA 的邏輯是:就算密碼被拿走,攻擊者還需要你手機上的驗證碼,而驗證碼 30 秒就換一次。
需要準備的 App
選一個 TOTP(Time-based One-Time Password)驗證器:
| App | 平台 | 特點 |
|---|---|---|
| Google Authenticator | iOS / Android | 最簡單,免費 |
| Authy | iOS / Android / 桌面 | 可雲端備份,跨裝置同步 |
| 1Password | iOS / Android / 桌面 | 密碼管理器整合,付費 |
| Microsoft Authenticator | iOS / Android | 支援備份,免費 |
建議選 Authy 或 1Password,因為換手機時可以恢復——Google Authenticator 換機要另外匯出,容易忘記。
還在選密碼管理器?可以看 Bitwarden vs 1Password vs iCloud 鑰匙圈比較 了解各方案差異。
設定步驟
替自己的帳號開啟 2FA:
- DSM 右上角 → 個人頭像 → 個人設定
- 帳號 → 雙步驟驗證 → 開始設定
- 選「驗證器應用程式(TOTP)」
- 用 App 掃描 QR Code
- 輸入 App 顯示的 6 位數代碼驗證
- 儲存備用碼(印出來或存在安全的地方)
備用碼非常重要。手機遺失、App 資料清除、換機沒有遷移——這時候備用碼是你唯一能登入的方式。
強制所有帳號都用 2FA(建議):
- 控制台 → 使用者與群組 → 進階
- 勾選「強制使用者啟用雙步驟驗證」
- 可以設定豁免條件(例如:限區網 IP 的帳號不需要)
測試:
登出 DSM,用你設定好的帳號重新登入,確認會出現 OTP 輸入框並可以正常驗證。
第二層:防火牆設定
DSM 的防火牆讓你可以精細控制哪些來源能存取 NAS 的哪些服務。
防火牆的基本邏輯
規則從上往下比對,第一條符合的規則就生效,後面的規則不再看。
所以結構通常是:
允許 → 區網 IP → 所有服務
允許 → 特定外部 IP → 特定 Port(如果有需要)
拒絕 → 所有其他來源 → 所有服務 ← 最後一條
設定步驟
- 控制台 → 安全性 → 防火牆
- 啟用防火牆(預設是停用的)
- 編輯規則
規則一:允許區網
- 來源 IP:子網路
- 子網路 IP:
192.168.1.0(依你的路由器設定調整) - 子網路遮罩:
255.255.255.0 - 連接埠:所有
- 動作:允許
規則二(如果需要從外部直接連):只允許特定服務
針對需要外部存取的服務個別開規則,不要開「所有連接埠」:
| 服務 | 連接埠 | 通訊協定 |
|---|---|---|
| DSM 管理介面 | 5001 | TCP |
| Plex | 32400 | TCP |
| SSH | 你設定的非標準 Port | TCP |
最後一條:拒絕所有
- 來源 IP:所有
- 連接埠:所有
- 動作:拒絕
這條一定要加。沒有這條的話,防火牆預設允許所有連線,等於沒開。
如果你用 Tailscale
Tailscale 的流量走的是 Tailscale 的網路介面,不會被 DSM 防火牆攔。所以你可以設定:
- 只允許區網 IP
- 拒絕所有其他
- 然後用 Tailscale 從外部連,完全不用在防火牆開外部 Port
這是最乾淨的配置。
測試防火牆
設定完後,從區網和外部分別測試:
- 區網:正常能連
- 從手機(4G/5G,不是家裡 Wi-Fi):按照你的規則決定能不能連
不確定某個 port 是否真的被防火牆擋住或對外開放,可以在 PowerShell 執行 Test-NetConnection -ComputerName 你的WAN IP -Port 埠號 驗證,或用手機切 4G 後以 telnet 測試。
如果防火牆設定出錯把自己鎖在外面,可以從路由器設定頁面找到 NAS 的 IP,然後在路由器管理介面的 LAN 側操作。
第三層:Tailscale VPN
Tailscale 是什麼
Tailscale 是一個基於 WireGuard 的 VPN 服務,免費方案對家庭用戶已經夠用。
它的核心特點:
- 不需要公開 IP:你的 NAS 不對外暴露任何 Port
- 裝置認證:只有你授權的裝置才能連進來
- 加密通道:所有流量加密,即使在公共 Wi-Fi 也安全
- 零設定穿透 NAT:不用在路由器開 Port
在 NAS 上安裝 Tailscale
方法一:套件中心
- DSM → 套件中心 → 搜尋 Tailscale
- 安裝並啟動
- 點選「連線至帳號」
- 瀏覽器會跳出 Tailscale 登入頁,用 Google / GitHub / Microsoft 帳號登入
- 授權後,NAS 出現在你的 Tailscale 裝置清單
方法二:Docker(如果套件中心找不到)
version: "3"
services:
tailscale:
image: tailscale/tailscale:latest
container_name: tailscale
network_mode: host
cap_add:
- NET_ADMIN
- NET_RAW
volumes:
- /volume1/docker/tailscale:/var/lib/tailscale
environment:
- TS_AUTHKEY=your-auth-key
- TS_STATE_DIR=/var/lib/tailscale
restart: unless-stopped
Auth Key 從 Tailscale 網頁後台 → Settings → Keys 生成。
在你的裝置上安裝 Tailscale
| 平台 | 安裝方式 |
|---|---|
| iOS | App Store 搜尋 Tailscale |
| Android | Play 商店搜尋 Tailscale |
| macOS | App Store 或官網下載 |
| Windows | 官網下載 |
安裝後用同一個帳號登入。同帳號的裝置自動加入同一個私有網路。
連線測試
- 手機切到 4G(確保不在家裡 Wi-Fi)
- 開啟 Tailscale App,確認 NAS 裝置顯示為「Connected」
- 瀏覽器輸入 Tailscale 給 NAS 的 IP(格式類似
100.x.x.x) - 應該能正常開啟 DSM 登入頁
Tailscale 的 IP 在裝置清單可以看到,是固定的(不會變)。
Tailscale 進階:MagicDNS
開啟 MagicDNS 後,不用記 IP,可以直接用裝置名稱連:
- Tailscale 後台 → DNS → 啟用 MagicDNS
- 之後可以用
http://synology或你設定的名稱連線
三層防護架構總結
你(手機/電腦)
↓
Tailscale 加密通道(第三層:不暴露在公開網路)
↓
NAS 防火牆(第二層:允許 Tailscale 網段或區網)
↓
DSM 登入(第一層:需要密碼 + 2FA 驗證碼)
↓
你的資料
每一層防護都是獨立的,任一層被突破,後面還有。
常見問題
Q:Tailscale 免費方案有什麼限制?
免費方案可以加入最多 100 台裝置,對家庭使用完全夠用。功能上沒有太多限制,付費方案主要多的是多用戶管理和企業功能。
Q:Tailscale 公司倒了怎麼辦?
Tailscale 底層是 WireGuard,即使 Tailscale 服務中斷,你可以自架 Headscale(開源的 Tailscale 控制伺服器)繼續使用相同的技術。
Q:防火牆設定錯誤把自己鎖在外面怎麼辦?
- 從區網另一台裝置進 DSM 修改規則
- 如果連區網都進不去,SSH 進 NAS 後修改防火牆設定(需要先有 SSH 帳號)
- 最後手段:實體接上 NAS,在本機修改
Q:2FA 備用碼弄丟了,又換了手機,進不去 NAS 怎麼辦?
- 如果還有其他管理員帳號,用那個帳號登入,幫你的帳號停用 2FA
- 如果沒有其他帳號,需要實體連接 NAS,用 DSM 的重設選項處理(不同版本步驟不同,建議參考 Synology 官方文件)