安全性丨传统NAS与新兴最大差距，威联通TS-464C2上手告诉你为啥

来源：哔哩哔哩　2023-05-24 05:49:41

大家好，我是加勒比考斯。

【资料图】

很高兴再次与大家见面~

关于NAS的安全性很多玩家可能真的不清楚，比如硬盘寿命大概是多少？是否需要组建RAID阵列，组了RAID还需要备份吗？外网访问必须要配置SSL吗？内外端口怎么设置？是否需要杀毒软件？是否需要快照？组了RAID还需要定期磁盘检查吗？

这些都是问题，所以咱们来一次性解答。

这次我们采用的测试平台是威联通TS-464C2，还是目前消费级里面最顶级的4盘位旗舰NAS，它采用的是N5095四核心四线程处理器，8GB可拓展内存，注意内存可以拓展了，另外SSD散热部分也做了优化改进，其余的还是维持原来的2个USB3.2 Gen2 10Gbps接口，一个HDMI2.0接口等；新机器整体外观改了配色，新颜色更加适合商务风。

威联通TS-464C2机身背部，接口还维持TS-464C原样，威联通最厉害的部分就是把CPU的带宽总分利用，竟然给了2个USB3.2 Gen2 10Gbps接口，1个HDMI2.0接口，4盘位SATA6.0Gbps盘位接口，2个NVMe SSD接口（PCIe3.0*2的总线，速度被限制2GB/s）,毕竟威联通NAS双2.5G网口进行SMB多通道聚合，速度也才600MB/s，足够NAS使用了。

整体就硬件而言，这款NAS已经达到了家用4盘位天花板级别。尤其是内存部分不受限后，我们玩家可以使劲拓展了~

好了，咱们这篇既然讲NAS安全性，那么就可以从NAS本身所带的各种功能技术出发，以威联通为例，大家可以看看传统NAS在这方面的底蕴~

1、硬盘寿命预测

关于NAS可以选择的硬盘比较多，分别有企业盘、NAS盘、监控盘。无论是希捷、西部数据还是东芝都出有类似的盘，选择方面可以从这三个品牌来进行选择。

从可靠性与寿命方面而言：企业盘＞NAS 盘＞监控盘＞普通盘

很多玩家可能会在企业盘和 NAS 盘之间纠结，企业盘都是5年质保，NAS盘都是3年质保，质保也就意味着正常使用下的寿命，很多玩家想着企业级硬盘明明可靠性最高，寿命最长，但是为什么 NAS 盘如今却也能火了呢？借用一个玩家的话：

NAS 盘的设计思路是低功耗，静音，IO 不用拉满，靠谱程度 60 分就 OK。而企业盘的设计思路是：功耗随意，噪音随意，读写快一些，靠谱程度起码 80 分。两者对比而言，NAS 盘的转速低、功耗低，噪音低，发热低，适合于家庭与小型企业环境。企业盘则是转速高、功耗高、发热大，最重要的一点是，企业盘的噪音问题，咔咔咔炒豆子的声音在机房是属于正常，但是对于某些家庭玩家来说是真的难以忍受！

还有一部分玩家选择监控盘。监控盘主要针对的工作环境是视频流数据的持续稳定性写入，并没有针对存储服务器经常性读写改动数据这个环境进行优化，所以可靠性并不会太高，所以不是很推荐。

以威联通为例，通过存储与快照总管，可以看到每个硬盘的状态都可以看的非常清楚。

同时通过威联通内置DA drive软件还可以预测硬盘寿命，但是这个软件只给了一个硬盘的体验资格，其余的硬盘预测则需要收费，但是能白嫖一个硬盘位置是一个硬盘位置，因为威联通关于硬盘的检测技术很多。别家有的它都有，别家没有的它也有。

比如酷狼的IronWolf健康管理、SMART硬盘信息查询，硬盘全面扫描测试等等。

2、RAID磁盘阵列

磁盘阵列（Redundant Arrays of Independent Disks，RAID），有“独立磁盘构成的具有冗余能力的阵列”之意。磁盘阵列是由很多价格较便宜的磁盘，组合成一个容量巨大的磁盘组，利用个别磁盘提供数据所产生加成效果提升整个磁盘系统效能。利用这项技术，将数据切割成许多区段，分别存放在各个硬盘上。

简而言之，RAID可以提供安全性、读写性能、存储池容量，具体根据阵列类型而定！

RAID方案常见的可以分为6种。

JBOD、RAID 0、RAID 1、RAID 5、RAID 6、RAID 10

JBOD（Just a bunch of disk）严格上来说不是一种RAID，因为它只是简单将多个磁盘合并成一个大的逻辑盘，并没有任何的数据冗余。数据的存放机制就是从第一块磁盘开始依序向后存储数据。如果某个磁盘损毁，则该盘上的数据就会丢失。

RAID 0无冗余备份，存储池包含所有硬盘容量，硬盘全部用来提升读写能力。简单而言：假设10块硬盘组成RAID 0阵列，存储池读写能力变成单个硬盘的读写能力的10倍！硬盘只要损坏一块，阵列内所有硬盘的数据会立刻丢失。

RAID 1是一种镜像磁盘阵列，其原理就是把一块硬盘的数据以相同位置指向另一块硬盘的位置。RAID 1又称为Mirror或Mirroring，它的宗旨是最大限度的保证用户数据的可用性和可修复性。它只支持2块硬盘。存储池容量只有单块硬盘容量大小，不能提高存储性能，硬盘可以允许随机损坏一块。它的高数据安全性，尤其适用于存放重要数据，如服务器和数据库存储等领域。

RAID 5将数据以块为单位分布到各个硬盘上。RAID5不对数据进行备份，而是把数据和与其相对应的奇偶校验信息存储到组成RAID5的各个磁盘上，并且奇偶校验信息和相对应的数据分别存储于不同的磁盘上。当RAID5的一个磁盘数据损坏后，利用剩下的数据和相应的奇偶校验信息去恢复被损坏的数据。它的容量为（n-1）块硬盘总容量，存储性能提升（n-1）倍，硬盘可以允许随机损坏一块。

RAID 6同RAID5一样，数据和校验码都是被分成数据块然后分别存储到磁盘阵列的各个硬盘上。RAID6加入了一个独立的校验磁盘，它把分布在各个磁盘上的校验码都备份在一起，这样RAID6磁盘阵列就答应多个磁盘同时出现故障，它会进行两次奇偶校验，以提供写入保护，因而RAID 6的写入速度小于其它级别的RAID。RAID 6容量为（n-2）块硬盘总容量，存储性能提升（n-2）倍，硬盘可以允许随机损坏2块。但是在4块硬盘的情况下，RAID 6的计算相较于RAID 10而言会更加密集，所以重建速度较慢。

RAID 10其实结构非常简单，首先创建2个独立的RAID 1，然后将这两个独立的RAID 1组成一个RAID 0，RAID 10容量为2块硬盘总容量，存储性能提升2倍，硬盘可以防止两个磁盘同时出现故障，但是这两块硬盘不能是存储同一份数据的硬盘。如果发生意外，RAID 10重建速度较RAID 6更快。

以威联通为例：

家用配置推荐：

单一静态卷以及RAID 1，不需要高速缓存加速，不需要威联通Qtier阵列。

企业配置推荐：

RAID5或者RAID6，推荐上高速缓存加速技术，或者威联通Qtier阵列技术。

此外，还值得一说的是威联通的存储池与存储卷。

威联通的存储池架构如下：

这张图是威联通 QTS 的存储系统架构，底层是物理硬盘，上层是逻辑存储区域。物理硬盘 HDD/SSD 构成存储池 Storage Pool，存储池之上划分卷 Volume，卷上划分共享文件夹 Shared Folder。

用我们平常使用的 Windows 系统进行类比：

1、Shared Folder 相当于 Windows 下的一个文件夹，可以单独配置用户的存取（Access）权限。

2、Volume 即是逻辑分区，例如 C 盘、D 盘这样的。

3、Storage Pool 即是对底层硬盘的一层逻辑封装，将 RAID 等底层细节隐藏，不暴露给上层的操作系统或应用程序。当底层硬盘发生更换、故障时，都不会影响上层系统的运行（前提是你做了 RAID1 等冗余设置）。

4、Hard Drives 即是在现实中真实存在的硬盘本体。

通过 HDD/SSD 构成存储池 Storage Pool 的过程就是使用磁盘阵列（RAID）来进行。

简而言之，RAID 可以提供安全性、读写性能、存储池容量，具体根据阵列类型而定！

一般而言，建立完存储池后就需要在上面建卷，咱们以威联通的 NAS 系统为例，在存储池上又提供厚卷、精简卷 2 种卷形式。请注意，静态卷由于不具备存储池的属性（快照、Qtier、版本控制），所以这个是单独另外建立的，它与存储池层级并列，且建立好就可使用。

静态卷：适合放置对磁盘性能要求高的应用或文件，例如作为下载盘，或者用于存放虚拟机的硬盘。不支持快照。

厚卷：支持快照、LUN，适合存放照片等一般文件。没有特殊需求的话一般使用厚卷。

精简卷：支持快照、LUN，空间非常灵活，用多少就占用多少，原理和虚拟机的虚拟硬盘类似。性能比较差。

对于一般玩家玩家而言，如果没有快照与 Qiter 的需求，笔者更推荐静态卷，性能大概会好个 10%~20%。

3、最强备份工具

传统的3-2-1数据备份原则作为黄金数据保护法则，对于任何存储环境均行之有效。随着时间推移，它如今已经演化成为各种企业级数据保护方案最基本的概念。然而下放到消费级而言，咱们依然可以从根本出发来实施该原则，它可以提供安全的数据保护，以及遇到灾难后的数据还原。

数据备份的3-2-1规则规定，应在两个不同的存储介质上至少存储三个数据副本或版本，其中一个不在现场设施中存储。以下了解这三个要素中的每个要素及其要解决的问题：

图片来自Veeam

3个数据副本：除了原有的副本，你应该始终让你的重要数据有两个额外的备份副本，无论是存储在服务器、NAS、硬盘驱动器、网盘或其他地方。这将确保不会发生一次单一的事件而毁掉所有重要数据的情况。

2种不同的存储介质：用户应该将数据的副本以至少两种不同的媒介或存储类型保存。这可能包括一个内部驱动器，以及外部媒介，如磁盘、磁带、闪存、以及NAS或云盘存储。理想情况下，本地备份的其中之一应该采用映像技术，例如苹果公司的Time Machine其能够备份整个操作系统、应用程序和文件来创建本地备份，所以您不必重新安装或重新配置您的系统偏好了。从本质上讲，映像备份可让您将整个系统恢复到一个特定的时间点。每种媒介都有不同的故障模式，而这就保证了不会有一样的故障模式。

1个异地备份：将至少一份备份存储在异地是保证数据免于受到类似火灾，水灾或盗窃等物理灾难损害的必要措施。当您已经对您重要的数据创建了多个副本之后，保存初始原件的完整性就显得异常重要，否则有该原件所备份的每个副本都会有相同的缺陷。如果你将其存储到多个位置，必须检查所有文件都是一致的。这样，重复数据删除技术将确保你能消除冗余的数据块，而加密将增加安全性，而分类编目和索引将方便您进行快速检索。

3-2-1数据备份原则一直是很好的法则，如果玩家能理解并且遵守这个原则，那么找数据保护层面会节省大量的时间和成本。

而对这个3-2-1这个法则诠释的最完美的就是威联通HBS3应用，注意是最好，没有之一。

威联通通过HBS3应用即可创建3-2-1数据备份原则。威联通HBS 3是将数据备份、复原、同步等功能整合到一个应用里面，通过USB单键备份、Time Machine备份、RTRR远程备份（或通过RTRR、Rsync、FTP、CIFS/SMB文件同步等作法）等超强备份功能可以将 QNAP NAS 中的数据备份或同步到另一台 QNAP NAS、远程服务器或云服务中。

它支持的云有非常多，通过 HBS 3 ，咱们可以将资料快速同步到到百度云盘、WebDAV、Google Drive、Microsoft OneDrive 、HUAWEI Cloud、Dropbox、Box、Yandex Disk、Amazon Cloud Drive、Amazon S3、Amazon Glacier、Azure Storage、Google Cloud Storage，以及与S3、OpenStack Swift、WebDAV兼容等各个云端，或者同步到远程NAS、Rsync、FTP、CIFS/SMB等远程端的备份。

此外，还值得一提的是威联通的HybridMount云网关工具，这是一个非常强大的工具，其他家NAS都没有，它可以把云盘直接挂载成本地文件夹来使用。

它具有两种装载模式，可帮助您创建符合您需求的混合云环境。文件云网关模式可将您的NAS变身为云网关，支持您装载不同的云存储帐户。您不仅可以从File Station访问云帐户，还可以访问通过SMB、NFS、AFP和FTP等网络协议连接的其他设备上的存储。这样可以将迟延降至最低，并提高访问云存储时的性能。File Station装载模式支持在本地NAS上使用File Station访问装载的云存储帐户和远程设备上的数据。

4、快照定时存档

大家之前应该都玩过单机游戏，大多数单机游戏都有存档功能，你可以任意时候选择存档，如果后面GAME OVER就可以读档接着来。快照就是一个存档功能。

威联通的快照备份可以针对于NAS的某一个状态进行存档。你可以主动存档，也可以设置定时自动存档，如每周一次。威联通快照为数据提供区块级保护，快照可以记录厚卷、精简卷或区块 iSCSI LUN 在特定时间点的状态。意外删除或修改快照中的数据时，可将其迅速恢复至该状态。

威联通的快照功能可以时间轴的方式呈现，也可以列表形式呈现。玩家可以对快照进行命名并且添加说明，当误操作或者数据丢失的时候，可以随时在这里进行恢复。这些快照可以选择7天到期，也可以永久保留。此外玩家还可启用智能快照空间管理后，存储池空间不足时会删除旧的快照。如果禁用此功能，请特别留意存储空间，以确保存储空间不会意外不足。

另外群晖也有这个快照功能，但极空间与绿联目前还没有。

5、内置杀毒应用

Security Counselor

Security Counselor 可为 NAS 进行安全风险评估，并建议合适的安全性设定以防范可能的风险和危机。其主要的优点是整合防病毒软件与扫描恶意软件的应用程序，而且能够直白告诉你NAS上还有什么安全策略需要执行，同样的也不过多消耗NAS资源。

Malware Remover

定时扫描您的 NAS、清除受感染的文件，类似以前我们用的扫描木马病毒工具，可定时去扫描，该软件平时不会消耗NAS资源，推荐大家使用。

McAfee

通过安装 McAfee 防毒服务，QNAP 用户可手动或定时扫描，保护数据不受病毒威胁，修复已中毒的文件，避免病毒因文件分享而再度扩散，更可随时更新病毒库。

QuFirewall

QuFirewall 是一款防火墙应用程序，可帮助您高效保护设备免受外部网络攻击。QuFirewall 内置三组配置文件，【Basic Protection】、【Include subnets only】、【Restricted security】严格等级不同，一般推荐选第一个，【Include subnets】仅允许 NAS 区网子网的所有端口，【Resttricted security】仅允许 NAS 区网子网及所选地区的部分端口。