Файрволл или Брандмауэр или Firewall как вы его не назовите, но сути это не меняет. Это защита работающая на сетевом уровне для защиты вашего сервера или просто ПК от несанкционированного доступа, от атак. Я расскажу как настраивать этот файрволл на Synology NAS что бы свести к минимуму атаки на ваше устройство из сети Интернет.
Любой компьютер или сервер любое устройство в сети интернет может соединиться с любым устройством так же подключенным к этой сети. В этом и заключается вся суть сети Интернет, глобальная связь между всеми устройствами. Я не буду в этой статье вдаваться в принципы работы IP сетей скажу только одно, зловреды постоянно сканируют сеть в поисках незащищенных устройств, что бы попытаться получить к ним доступ. Для чего? не важно, это на совести создателей этих самых зловредов их еще называют ботами.
Как только зловреды найдут ваш сервер они начинают подбирать пароли или пытаться воспользоваться уязвимостями, которые еще не устранили, а таких бывает много, особенно если не обновлять систему.
Основная масса этих ботов расположена не в нашей стране, как правило это Китай, Полистина, Амстердам. Но это не единственные страны где обитают эти зловреды.
Мой опыт борьбы с ботами довольно обширный, в своем распоряжении я имею несколько десятков серверов, которые видны в интернете и когда дело дошло до Synology я сразу смекнул что надо делать. Нужно закрыть наш Synology фаерволом, но так что бы я сам мог спокойно к нему подключаться через интернет.
Можно долго и упорно блокировать на файрволле каждый IP адрес, который пытается взломать ваш сервер или даже составлять огромные конфигурации сетей, которые нужно заблокировать, но это вызовет лишь большую нагрузку на сетевой стек сервера и усложнит конфигурацию.
Я предлагаю вам сделать следующее:
- Разрешить локальную сеть
- Разрешить сети согласно геопозиционирования по странам, выбрав те страны, из которых мы хотели бы получить доступ к нашему серверу.
- Дополнительно можно разрешить порты, которые защищены от подбора паролей. Как правило у Synology это порты, на которых работают встроенные службы DSM (5000, 5001, Drive). Эти порты так же нужны для работы quick Connect
- Остальное все запрещаем.
Страны я выбрал следующие: Россия, Казахстан, Белоруссия. А вот Украину осторожно. Там много ботов, согласно моим данным. По крайней мере меня с Украины часто пытались взламывать. Не знаю с чем это связано именно на Украине, но видимо хохлы сильно любят халяву.
Такие настройки фаервола позволят практически полностью прекратить попытки взлома вашего сервера.
Самое главное, что нужно помнить – безопасность не бывает безопасной. Поэтому не поленитесь, настройте фаеврол на вашем Synology и быть может это поможет вам остаться в безопасности, по крайней мере это снизит коэффициент угроз, которыми кишит интернет.
Я так же снял небольшой видео-ролик и выложил его в интернете. Вы можите ознакомиться с ним на этом сайте или перейти на хостинг видео-роликов, как вам удобно.
