安全性丨傳統(tǒng)NAS與新興最大差距，威聯(lián)通TS-464C2上手告訴你為啥

來源：嗶哩嗶哩　2023-05-24 05:49:41

大家好，我是加勒比考斯。

【資料圖】

很高興再次與大家見面~

關(guān)于NAS的安全性很多玩家可能真的不清楚，比如硬盤壽命大概是多少？是否需要組建RAID陣列，組了RAID還需要備份嗎？外網(wǎng)訪問必須要配置SSL嗎？內(nèi)外端口怎么設(shè)置？是否需要殺毒軟件？是否需要快照？組了RAID還需要定期磁盤檢查嗎？

這些都是問題，所以咱們來一次性解答。

這次我們采用的測試平臺是威聯(lián)通TS-464C2，還是目前消費級里面最頂級的4盤位旗艦NAS，它采用的是N5095四核心四線程處理器，8GB可拓展內(nèi)存，注意內(nèi)存可以拓展了，另外SSD散熱部分也做了優(yōu)化改進，其余的還是維持原來的2個USB3.2 Gen2 10Gbps接口，一個HDMI2.0接口等；新機器整體外觀改了配色，新顏色更加適合商務風。

威聯(lián)通TS-464C2機身背部，接口還維持TS-464C原樣，威聯(lián)通最厲害的部分就是把CPU的帶寬總分利用，竟然給了2個USB3.2 Gen2 10Gbps接口，1個HDMI2.0接口，4盤位SATA6.0Gbps盤位接口，2個NVMe SSD接口（PCIe3.0*2的總線，速度被限制2GB/s）,畢竟威聯(lián)通NAS雙2.5G網(wǎng)口進行SMB多通道聚合，速度也才600MB/s，足夠NAS使用了。

整體就硬件而言，這款NAS已經(jīng)達到了家用4盤位天花板級別。尤其是內(nèi)存部分不受限后，我們玩家可以使勁拓展了~

好了，咱們這篇既然講NAS安全性，那么就可以從NAS本身所帶的各種功能技術(shù)出發(fā)，以威聯(lián)通為例，大家可以看看傳統(tǒng)NAS在這方面的底蘊~

1、硬盤壽命預測

關(guān)于NAS可以選擇的硬盤比較多，分別有企業(yè)盤、NAS盤、監(jiān)控盤。無論是希捷、西部數(shù)據(jù)還是東芝都出有類似的盤，選擇方面可以從這三個品牌來進行選擇。

從可靠性與壽命方面而言：企業(yè)盤＞NAS 盤＞監(jiān)控盤＞普通盤

很多玩家可能會在企業(yè)盤和 NAS 盤之間糾結(jié)，企業(yè)盤都是5年質(zhì)保，NAS盤都是3年質(zhì)保，質(zhì)保也就意味著正常使用下的壽命，很多玩家想著企業(yè)級硬盤明明可靠性最高，壽命最長，但是為什么 NAS 盤如今卻也能火了呢？借用一個玩家的話：

NAS 盤的設(shè)計思路是低功耗，靜音，IO 不用拉滿，靠譜程度 60 分就 OK。而企業(yè)盤的設(shè)計思路是：功耗隨意，噪音隨意，讀寫快一些，靠譜程度起碼 80 分。兩者對比而言，NAS 盤的轉(zhuǎn)速低、功耗低，噪音低，發(fā)熱低，適合于家庭與小型企業(yè)環(huán)境。企業(yè)盤則是轉(zhuǎn)速高、功耗高、發(fā)熱大，最重要的一點是，企業(yè)盤的噪音問題，咔咔咔炒豆子的聲音在機房是屬于正常，但是對于某些家庭玩家來說是真的難以忍受！

還有一部分玩家選擇監(jiān)控盤。監(jiān)控盤主要針對的工作環(huán)境是視頻流數(shù)據(jù)的持續(xù)穩(wěn)定性寫入，并沒有針對存儲服務器經(jīng)常性讀寫改動數(shù)據(jù)這個環(huán)境進行優(yōu)化，所以可靠性并不會太高，所以不是很推薦。

以威聯(lián)通為例，通過存儲與快照總管，可以看到每個硬盤的狀態(tài)都可以看的非常清楚。

同時通過威聯(lián)通內(nèi)置DA drive軟件還可以預測硬盤壽命，但是這個軟件只給了一個硬盤的體驗資格，其余的硬盤預測則需要收費，但是能白嫖一個硬盤位置是一個硬盤位置，因為威聯(lián)通關(guān)于硬盤的檢測技術(shù)很多。別家有的它都有，別家沒有的它也有。

比如酷狼的IronWolf健康管理、SMART硬盤信息查詢，硬盤全面掃描測試等等。

2、RAID磁盤陣列

磁盤陣列（Redundant Arrays of Independent Disks，RAID），有“獨立磁盤構(gòu)成的具有冗余能力的陣列”之意。磁盤陣列是由很多價格較便宜的磁盤，組合成一個容量巨大的磁盤組，利用個別磁盤提供數(shù)據(jù)所產(chǎn)生加成效果提升整個磁盤系統(tǒng)效能。利用這項技術(shù)，將數(shù)據(jù)切割成許多區(qū)段，分別存放在各個硬盤上。

簡而言之，RAID可以提供安全性、讀寫性能、存儲池容量，具體根據(jù)陣列類型而定！

RAID方案常見的可以分為6種。

JBOD、RAID 0、RAID 1、RAID 5、RAID 6、RAID 10

JBOD（Just a bunch of disk）嚴格上來說不是一種RAID，因為它只是簡單將多個磁盤合并成一個大的邏輯盤，并沒有任何的數(shù)據(jù)冗余。數(shù)據(jù)的存放機制就是從第一塊磁盤開始依序向后存儲數(shù)據(jù)。如果某個磁盤損毀，則該盤上的數(shù)據(jù)就會丟失。

RAID 0無冗余備份，存儲池包含所有硬盤容量，硬盤全部用來提升讀寫能力。簡單而言：假設(shè)10塊硬盤組成RAID 0陣列，存儲池讀寫能力變成單個硬盤的讀寫能力的10倍！硬盤只要損壞一塊，陣列內(nèi)所有硬盤的數(shù)據(jù)會立刻丟失。

RAID 1是一種鏡像磁盤陣列，其原理就是把一塊硬盤的數(shù)據(jù)以相同位置指向另一塊硬盤的位置。RAID 1又稱為Mirror或Mirroring，它的宗旨是最大限度的保證用戶數(shù)據(jù)的可用性和可修復性。它只支持2塊硬盤。存儲池容量只有單塊硬盤容量大小，不能提高存儲性能，硬盤可以允許隨機損壞一塊。它的高數(shù)據(jù)安全性，尤其適用于存放重要數(shù)據(jù)，如服務器和數(shù)據(jù)庫存儲等領(lǐng)域。

RAID 5將數(shù)據(jù)以塊為單位分布到各個硬盤上。RAID5不對數(shù)據(jù)進行備份，而是把數(shù)據(jù)和與其相對應的奇偶校驗信息存儲到組成RAID5的各個磁盤上，并且奇偶校驗信息和相對應的數(shù)據(jù)分別存儲于不同的磁盤上。當RAID5的一個磁盤數(shù)據(jù)損壞后，利用剩下的數(shù)據(jù)和相應的奇偶校驗信息去恢復被損壞的數(shù)據(jù)。它的容量為（n-1）塊硬盤總?cè)萘浚鎯π阅芴嵘╪-1）倍，硬盤可以允許隨機損壞一塊。

RAID 6同RAID5一樣，數(shù)據(jù)和校驗碼都是被分成數(shù)據(jù)塊然后分別存儲到磁盤陣列的各個硬盤上。RAID6加入了一個獨立的校驗磁盤，它把分布在各個磁盤上的校驗碼都備份在一起，這樣RAID6磁盤陣列就答應多個磁盤同時出現(xiàn)故障，它會進行兩次奇偶校驗，以提供寫入保護，因而RAID 6的寫入速度小于其它級別的RAID。RAID 6容量為（n-2）塊硬盤總?cè)萘浚鎯π阅芴嵘╪-2）倍，硬盤可以允許隨機損壞2塊。但是在4塊硬盤的情況下，RAID 6的計算相較于RAID 10而言會更加密集，所以重建速度較慢。

RAID 10其實結(jié)構(gòu)非常簡單，首先創(chuàng)建2個獨立的RAID 1，然后將這兩個獨立的RAID 1組成一個RAID 0，RAID 10容量為2塊硬盤總?cè)萘浚鎯π阅芴嵘?倍，硬盤可以防止兩個磁盤同時出現(xiàn)故障，但是這兩塊硬盤不能是存儲同一份數(shù)據(jù)的硬盤。如果發(fā)生意外，RAID 10重建速度較RAID 6更快。

以威聯(lián)通為例：

家用配置推薦：

單一靜態(tài)卷以及RAID 1，不需要高速緩存加速，不需要威聯(lián)通Qtier陣列。

企業(yè)配置推薦：

RAID5或者RAID6，推薦上高速緩存加速技術(shù)，或者威聯(lián)通Qtier陣列技術(shù)。

此外，還值得一說的是威聯(lián)通的存儲池與存儲卷。

威聯(lián)通的存儲池架構(gòu)如下：

這張圖是威聯(lián)通 QTS 的存儲系統(tǒng)架構(gòu)，底層是物理硬盤，上層是邏輯存儲區(qū)域。物理硬盤 HDD/SSD 構(gòu)成存儲池 Storage Pool，存儲池之上劃分卷 Volume，卷上劃分共享文件夾 Shared Folder。

用我們平常使用的 Windows 系統(tǒng)進行類比：

1、Shared Folder 相當于 Windows 下的一個文件夾，可以單獨配置用戶的存取（Access）權(quán)限。

2、Volume 即是邏輯分區(qū)，例如 C 盤、D 盤這樣的。

3、Storage Pool 即是對底層硬盤的一層邏輯封裝，將 RAID 等底層細節(jié)隱藏，不暴露給上層的操作系統(tǒng)或應用程序。當?shù)讓佑脖P發(fā)生更換、故障時，都不會影響上層系統(tǒng)的運行（前提是你做了 RAID1 等冗余設(shè)置）。

4、Hard Drives 即是在現(xiàn)實中真實存在的硬盤本體。

通過 HDD/SSD 構(gòu)成存儲池 Storage Pool 的過程就是使用磁盤陣列（RAID）來進行。

簡而言之，RAID 可以提供安全性、讀寫性能、存儲池容量，具體根據(jù)陣列類型而定！

一般而言，建立完存儲池后就需要在上面建卷，咱們以威聯(lián)通的 NAS 系統(tǒng)為例，在存儲池上又提供厚卷、精簡卷 2 種卷形式。請注意，靜態(tài)卷由于不具備存儲池的屬性（快照、Qtier、版本控制），所以這個是單獨另外建立的，它與存儲池層級并列，且建立好就可使用。

靜態(tài)卷：適合放置對磁盤性能要求高的應用或文件，例如作為下載盤，或者用于存放虛擬機的硬盤。不支持快照。

厚卷：支持快照、LUN，適合存放照片等一般文件。沒有特殊需求的話一般使用厚卷。

精簡卷：支持快照、LUN，空間非常靈活，用多少就占用多少，原理和虛擬機的虛擬硬盤類似。性能比較差。

對于一般玩家玩家而言，如果沒有快照與 Qiter 的需求，筆者更推薦靜態(tài)卷，性能大概會好個 10%~20%。

3、最強備份工具

傳統(tǒng)的3-2-1數(shù)據(jù)備份原則作為黃金數(shù)據(jù)保護法則，對于任何存儲環(huán)境均行之有效。隨著時間推移，它如今已經(jīng)演化成為各種企業(yè)級數(shù)據(jù)保護方案最基本的概念。然而下放到消費級而言，咱們依然可以從根本出發(fā)來實施該原則，它可以提供安全的數(shù)據(jù)保護，以及遇到災難后的數(shù)據(jù)還原。

數(shù)據(jù)備份的3-2-1規(guī)則規(guī)定，應在兩個不同的存儲介質(zhì)上至少存儲三個數(shù)據(jù)副本或版本，其中一個不在現(xiàn)場設(shè)施中存儲。以下了解這三個要素中的每個要素及其要解決的問題：

圖片來自Veeam

3個數(shù)據(jù)副本：除了原有的副本，你應該始終讓你的重要數(shù)據(jù)有兩個額外的備份副本，無論是存儲在服務器、NAS、硬盤驅(qū)動器、網(wǎng)盤或其他地方。這將確保不會發(fā)生一次單一的事件而毀掉所有重要數(shù)據(jù)的情況。

2種不同的存儲介質(zhì)：用戶應該將數(shù)據(jù)的副本以至少兩種不同的媒介或存儲類型保存。這可能包括一個內(nèi)部驅(qū)動器，以及外部媒介，如磁盤、磁帶、閃存、以及NAS或云盤存儲。理想情況下，本地備份的其中之一應該采用映像技術(shù)，例如蘋果公司的Time Machine其能夠備份整個操作系統(tǒng)、應用程序和文件來創(chuàng)建本地備份，所以您不必重新安裝或重新配置您的系統(tǒng)偏好了。從本質(zhì)上講，映像備份可讓您將整個系統(tǒng)恢復到一個特定的時間點。每種媒介都有不同的故障模式，而這就保證了不會有一樣的故障模式。

1個異地備份：將至少一份備份存儲在異地是保證數(shù)據(jù)免于受到類似火災，水災或盜竊等物理災難損害的必要措施。當您已經(jīng)對您重要的數(shù)據(jù)創(chuàng)建了多個副本之后，保存初始原件的完整性就顯得異常重要，否則有該原件所備份的每個副本都會有相同的缺陷。如果你將其存儲到多個位置，必須檢查所有文件都是一致的。這樣，重復數(shù)據(jù)刪除技術(shù)將確保你能消除冗余的數(shù)據(jù)塊，而加密將增加安全性，而分類編目和索引將方便您進行快速檢索。

3-2-1數(shù)據(jù)備份原則一直是很好的法則，如果玩家能理解并且遵守這個原則，那么找數(shù)據(jù)保護層面會節(jié)省大量的時間和成本。

而對這個3-2-1這個法則詮釋的最完美的就是威聯(lián)通HBS3應用，注意是最好，沒有之一。

威聯(lián)通通過HBS3應用即可創(chuàng)建3-2-1數(shù)據(jù)備份原則。威聯(lián)通HBS 3是將數(shù)據(jù)備份、復原、同步等功能整合到一個應用里面，通過USB單鍵備份、Time Machine備份、RTRR遠程備份（或通過RTRR、Rsync、FTP、CIFS/SMB文件同步等作法）等超強備份功能可以將 QNAP NAS 中的數(shù)據(jù)備份或同步到另一臺 QNAP NAS、遠程服務器或云服務中。

它支持的云有非常多，通過 HBS 3 ，咱們可以將資料快速同步到到百度云盤、WebDAV、Google Drive、Microsoft OneDrive 、HUAWEI Cloud、Dropbox、Box、Yandex Disk、Amazon Cloud Drive、Amazon S3、Amazon Glacier、Azure Storage、Google Cloud Storage，以及與S3、OpenStack Swift、WebDAV兼容等各個云端，或者同步到遠程NAS、Rsync、FTP、CIFS/SMB等遠程端的備份。

此外，還值得一提的是威聯(lián)通的HybridMount云網(wǎng)關(guān)工具，這是一個非常強大的工具，其他家NAS都沒有，它可以把云盤直接掛載成本地文件夾來使用。

它具有兩種裝載模式，可幫助您創(chuàng)建符合您需求的混合云環(huán)境。文件云網(wǎng)關(guān)模式可將您的NAS變身為云網(wǎng)關(guān)，支持您裝載不同的云存儲帳戶。您不僅可以從File Station訪問云帳戶，還可以訪問通過SMB、NFS、AFP和FTP等網(wǎng)絡協(xié)議連接的其他設(shè)備上的存儲。這樣可以將遲延降至最低，并提高訪問云存儲時的性能。File Station裝載模式支持在本地NAS上使用File Station訪問裝載的云存儲帳戶和遠程設(shè)備上的數(shù)據(jù)。

4、快照定時存檔

大家之前應該都玩過單機游戲，大多數(shù)單機游戲都有存檔功能，你可以任意時候選擇存檔，如果后面GAME OVER就可以讀檔接著來。快照就是一個存檔功能。

威聯(lián)通的快照備份可以針對于NAS的某一個狀態(tài)進行存檔。你可以主動存檔，也可以設(shè)置定時自動存檔，如每周一次。威聯(lián)通快照為數(shù)據(jù)提供區(qū)塊級保護，快照可以記錄厚卷、精簡卷或區(qū)塊 iSCSI LUN 在特定時間點的狀態(tài)。意外刪除或修改快照中的數(shù)據(jù)時，可將其迅速恢復至該狀態(tài)。

威聯(lián)通的快照功能可以時間軸的方式呈現(xiàn)，也可以列表形式呈現(xiàn)。玩家可以對快照進行命名并且添加說明，當誤操作或者數(shù)據(jù)丟失的時候，可以隨時在這里進行恢復。這些快照可以選擇7天到期，也可以永久保留。此外玩家還可啟用智能快照空間管理后，存儲池空間不足時會刪除舊的快照。如果禁用此功能，請?zhí)貏e留意存儲空間，以確保存儲空間不會意外不足。

另外群暉也有這個快照功能，但極空間與綠聯(lián)目前還沒有。

5、內(nèi)置殺毒應用

Security Counselor

Security Counselor 可為 NAS 進行安全風險評估，并建議合適的安全性設(shè)定以防范可能的風險和危機。其主要的優(yōu)點是整合防病毒軟件與掃描惡意軟件的應用程序，而且能夠直白告訴你NAS上還有什么安全策略需要執(zhí)行，同樣的也不過多消耗NAS資源。

Malware Remover

定時掃描您的 NAS、清除受感染的文件，類似以前我們用的掃描木馬病毒工具，可定時去掃描，該軟件平時不會消耗NAS資源，推薦大家使用。

McAfee

通過安裝 McAfee 防毒服務，QNAP 用戶可手動或定時掃描，保護數(shù)據(jù)不受病毒威脅，修復已中毒的文件，避免病毒因文件分享而再度擴散，更可隨時更新病毒庫。

QuFirewall

QuFirewall 是一款防火墻應用程序，可幫助您高效保護設(shè)備免受外部網(wǎng)絡攻擊。QuFirewall 內(nèi)置三組配置文件，【Basic Protection】、【Include subnets only】、【Restricted security】嚴格等級不同，一般推薦選第一個，【Include subnets】僅允許 NAS 區(qū)網(wǎng)子網(wǎng)的所有端口，【Resttricted security】僅允許 NAS 區(qū)網(wǎng)子網(wǎng)及所選地區(qū)的部分端口。

6、反向代理

威聯(lián)通支持反向代理！反向代理是用戶和后端服務器之間的中間服務器。它的目的可能大不相同但它可以根據(jù) URL 將請求，路由到各種后端，也可以只是保護免受某些攻擊。實現(xiàn)方式也可以不同，但是步驟的主要順序是完全相同的。反向代理必須接收請求，它必須處理該請求，對該請求執(zhí)行一些操作，然后轉(zhuǎn)發(fā)給后端。

7、SSL證書

SL證書是數(shù)字證書的一種，類似于駕駛證、護照和營業(yè)執(zhí)照的電子副本。因為配置在服務器上，也稱為SSL服務器證書。安裝此證書之后，連接就需要遵守 SSL協(xié)議，由受信任的數(shù)字證書頒發(fā)機構(gòu)CA，在驗證服務器身份后頒發(fā)，具有服務器身份驗證和數(shù)據(jù)傳輸加密功能。

簡而言之，安裝SSL證書之后，玩家可以在外部通過https訪問家中的NAS，安全系數(shù)大幅度提升！

威聯(lián)通NAS也支持安裝SSL證書。