作者：可爱的小 cherry

大家好，这里是 Cherry，喜爱折腾、玩数码，热衷于分享数码玩耍经验 ~

前言

最近，cherry 的粉丝群里，经常有人反馈 NAS 中了勒索病毒。起因大多数是路由器开了 DMZ，或者在公网裸奔。

NAS 作为我们的家庭数据中心，存放了几乎我们所有的文档资料、家庭相册、办公材料，一旦设备安全防护不足，被勒索病毒攻击，那真的是会阿西吧！

对于很多 NAS 来说，安全服务能力基本是基于 ClamAV 这款开源杀毒软件的，而且一般是处于定时巡查的状态。杀毒软件大家都是知道的，防止安装各种软件效果嘎嘎好，防护病毒效果是微乎其微的，根据 2023 年 Palo Alto 统计，47% 的新型勒索病毒能避开杀软检测。

要做到防护勒索病毒，我们只能从文件备份、离线备份等方面做起。今天，cherry 以铁威马防勒索病毒功能为例，介绍一下应该如何来做好 NAS 的安全防护。

一、勒索克星—— USB 备份

勒索病毒最怕的是什么？没错，就是冷备数据。由于物理环境的隔离，勒索病毒不可能沿着空气去攻击我们冷备的数据。

所以把冷备份数据称为防御勒索病毒的最强屏障也一点不为过，其核心优势在于物理隔离特性。

传统的冷备有两种做法，第一种就是在 NAS 上外接硬盘盒手动备份，这种做法的好处是有感知，缺点就是备份随缘，不自动不及时。

第二种冷备方法，就是我们最为推荐的 USB 自动备份，也是铁威马 NAS 提供的核心功能—— USB Copy。

USB Copy 的备份是以共享文件夹为基础的，如果需要备份多个文件，则需要创建多个备份任务，并适当错峰备份。

QQ_1742365028404.png

现在的 U 盘，2T 的存储还是很常见的，而且价格也不贵，对于重要数据存储空间是足够的了。USB Copy 支持多版本、镜像、增量三种备份模式。

多版本：每次备份均是全量数据，存储占用较多。

镜像：即双向同步，确保源端和目的地数据完全一致。

增量：即仅上传，目的地数据只多不少。

此外，USB Copy 还支持备份循环，我们可以根据 U 盘的容量设备最大备份版本数，一般建议 5-7 天就足够了。

最好用的是 USB 自动隐藏功能，需要勾选上备份完成自动弹出、任务开始前自动挂载两个功能，这两个功能将 USB 备份从手动的事，变成了自动化操作，并且 USB 在备份完成后就会物理隔离，杜绝勒索传染。

二、时光回溯器——快照系统

快照系统堪称数据安全的 " 时光回溯器 "，其基于 BTRFS 文件系统的写时复制（COW）技术，能在不中断业务的前提下秒级生成数据时间胶囊。

相较于传统备份方案，快照的增量存储机制可节省大量的磁盘空间消耗，并且支持多层级的文件版本追溯，是对离线冷备数据的最好技术补充。

目前主流的企业级 NAS 系统都具备有快照功能，铁威马 NAS 也不例外。

TNAS 中，快照系统分为文件系统快照（TFSS）和 Snapshot ，两者在快照层级上有所不同。

1️⃣ TFSS：TFSS 是文件系统快照，目标是整个 BTRFS 文件系统。简单的说，就是全 NAS 存储快照。

这种快照模式，可以一键式全局数据，支持多版本的快照存留。

TFSS 是支持一键还原，能有效预防勒索病毒攻击。但是还原的时候一定要谨慎，切勿盲目操作导致数据丢失。

2️⃣ Snapshot ：Snapshot 是文件夹级别的快照，针对共享文件夹和 Lun 文件块。配置方面，和 TFSS 没太大差异，都是计划任务形式的，就不多介绍了。

这个 Lun 文件块快照，可以实现基于 NFS 和 iSCSI 的虚拟化存储的快照，如果我们使用 TNAS 为 PC 提供了 iSCSI 服务的，那么在折腾虚拟机的时候也是一个很不错的回滚工具。

Snapshot 快照，只会对新增部分内容进行快照，体积小，版本多。不论什么时候想恢复数据都直接还原，十分方便。

值得一提的是，除了在同一个存储空间生成快照外，Snapshot 还提供了远程复制的功能，可以在另外一块磁盘上生成快照副本，解决磁盘损坏带来的风险。

三、大杀器——网络安全隔离

通过上述两种备份方案，我们其实已经可以面对大部分的防勒索病毒攻击了。

但是俗话说得好，不怕一万，只怕万一，只要我们的 NAS 暴露在网络环境下，总会有那么一丝丝的风险被攻克。

尤其是对于初创企业、小型工作室来说，更有敏感数据或商业秘密。这个时候，采用铁威马独有的大杀器——安全隔离模式。

杜绝并阻隔所有的互联网连接，让 TNAS 本身置于纯内网环境中使用，关闭 SSH/Telnet 等高权限风险因素，百分百杜绝外网入侵，阻止恶意代码运行。

总结

还是那句话，数据无价，防护先行！ 针对防勒索病毒这种无解的病毒，我们只能通过冷备份的物理隔离、快照系统的时光回溯以及网络隔离的主动防御来进行预防。

最后是关于备份频率方面的建议：

1️⃣ USB 冷备：每日冷备，保留至少 3 天的备份数据，务必开启 USB 自动隐藏。

2️⃣ 快照：重要数据以小时为级别进行快照设置，保留至少 7 天的历史版本。

3️⃣ 网络隔离：一般人用不上，但企业建议开启。

本文来自什么值得买网站（www.smzdm.com）。