網路攻擊近幾年十分盛行,儲存重要資料的 NAS 也需建立一套防護機制。除了建立防毒機制外,也可以使用 防火牆 降低攻擊的風險。詮力科技所開發的 ITE2 NAS 搭載 Windows 10 IoT Enterprise 作業系統,因此使用者可以活用 Windows 10 內建的防火牆,讓您的 ITE2 NAS 更加安全,請參考本篇說明。
由於 ITE2 NAS 是使用網路來做為資料存取的通道,為了避免遭受到來自於其他電腦的攻擊,啟用 Windows 內建的防火牆是非常重要的一件事情。
請從 Windows 10 的設定中,選擇「網路和網際網路」,找到 Windows 防火牆。
進到防火牆頁面中,我們可以看到 Windows 10 將網路連線分成兩個類別:私人網路以及公用網路。
(註:使用者有時候會為了短暫的連線測試,手動關閉 Windows 防火牆,但測試完成後,請記得將防火牆設為「開啟」。)
防火牆設定
請在防火牆頁面中,點選「進階設定」。
接著可以看到左邊畫面的”輸入規則”,代表當其他機器要連到 ITE2 NAS 時,允許或是拒絕連線的設定。
而”輸出規則”,則是 ITE2 NAS 要將資料向其他機器傳送資料的時候,允許或是拒絕連線的設定。
【實作範例一】允許指定電腦透過遠端桌面服務連線到 ITE2 NAS
遠端桌面服務是使用 TCP:3389 通訊埠。
因此假設 A 電腦的 IP 位址:192.168.0.1、ITE2 NAS 的 IP 位址:192.168.0.100,則遠端桌面的規則是允許 A 電腦(192.168.0.1) 遠端至 NAS (192.168.0.100:3389)。
接著我們需要在防火牆的「輸入規則」,找到遠端桌面 – 使用者模式 (TCP-In),點兩下進入設定。
因為只允許 A 電腦可以遠端桌面至 ITE2 NAS ,其他 IP 位址的電腦皆拒絕,所以請點選「領域」頁籤,設定「遠端 IP 位址」為「這些 IP 位址」並「新增」遠端 IP 位址,輸入「192.168.0.1」後按下「確定」。
回到輸入規則,就會發現遠端桌面的遠端位址被加入 A 電腦的 IP 位址。如此設定後,只有 192.168.0.1 的 IP 位址,可以遠端連線至 NAS 主機 192.168.0.100 。
如此一來,就可以避免開啟遠端桌面服務後,常常會被不明來源的 IP 位址嘗試登入。
【實作範例二】禁止特定電腦使用檔案共用連至 ITE2 NAS
Windows 檔案共用連線使用TCP:445 通訊埠。
因此假設 A 電腦的 IP 位址:192.168.0.1,則規則是禁止 A 電腦(192.168.0.1) 使用檔案共用連線至 NAS。
請在輸入規則上按滑鼠右鍵,選擇「新增規則」。
在規則類型中,選擇「自訂」,點選「下一步」。
在程式中,選擇「所有程式」,點選「下一步」。
在通訊協定及連接埠中,選擇通訊協定類型「TCP」、本機連接埠「特定連接埠」「445」,點選「下一步」。
在領域中,設定遠端 IP 位址為「這些 IP 位址」並新增 A 電腦的 IP位址「192.168.0.1」,點選「下一步」。
在動作中,選擇「封鎖連線」,點選「下一步」。
在設定檔中,套用此規則至所有類別(網址、私人、公用),點選「下一步」。
在名稱中,輸入自訂名稱與描述,點選「完成」。
設定完成後就可以看到,我們已成功新增一筆禁止 A 電腦連線 ITE NAS 的檔案共用。
以上兩個範例,都是利用 Windows 10 防火牆的規則,來增強 ITE2 NAS 使用的安全性。避免遭受到來自網路的攻擊,同時也可以省下添購防火牆的預算。