Tag Archives: Synology

什麼是 SPI 防火牆?

Synology Router Manager

什麼是 SPI 防火牆?

SRM 內建 SPI (狀態封包檢查) 防火牆,此為進階的安全性機制,負責檢查封包並追蹤紀錄網路連線的狀態。SPI 防火牆在 SRM 中為永久開啟,具有下列主要優點:

  • 追蹤紀錄不同網路連線 (例如 TCP 及 UDP) 的狀態
  • 深入檢查封包狀態 (例如封包來源、目的地及更多資訊)
  • 依據連線狀態,提供更佳的動態保護機制,免於惡意封包威脅。

如何新增防火牆規則以允許或拒絕 IP 位址存取 SRM 或區域網路?

如何新增防火牆規則以允許或拒絕 IP 位址存取 SRM 或區域網路?

目的

本文章說明如何在您的 SRM 上新增防火牆規則以允許或拒絕特定 IP 位址存取某些網路連接埠,防止未經授權的登入並控制服務存取。

解決方法

僅允許特定 IP 位址存取 SRM 或區域網路

    1. 前往網路中心 > 安全性 > 防火牆 > 新增並依照此文章的步驟新增防火牆規則。
    2. 若只要允許特定 IP 位址 (例如:來自澳洲的 IP 位址) 存取您的 SRM 或區域網路 (例如:192.168.xxx.xxx) 但拒絕其他 IP 位址進行存取,請新增一個防火牆規則並在編輯防火牆規則 > 操作選擇允許1
    3. 依需求調整預設規則:2
      • 如果 WAN 至 SRM 的 IPv4 流量無對應規則:允許 / 拒絕 IPv4 傳入流量存取 SRM。
      • 如果 WAN 至區域網路的 IPv4 流量無對應規則:允許 / 拒絕 IPv4 傳入流量存取 Synology Router 的用戶端裝置。
      • 如果 WAN 至 SRM 的 IPv6 流量無對應規則:允許 / 拒絕 IPv6 傳入流量存取 SRM。
      • 如果 WAN 至區域網路的 IPv6 流量無對應規則:允許 / 拒絕 IPv6 傳入流量存取 Synology Router 的用戶端裝置。

僅拒絕特定 IP 位址存取 SRM 或區域網路

    1. 前往網路中心 > 安全性 > 防火牆 > 新增並依照此文章的步驟新增防火牆規則。
    2. 若只要拒絕特定 IP 位址 (例如:來自澳洲的 IP 位址) 存取您的 SRM 或區域網路 (例如:192.168.xxx.xxx) 但允許其他 IP 位址進行存取,請新增一個防火牆規則並在編輯防火牆規則 > 操作選擇拒絕1
    3. 依需求調整預設規則:2
      • 如果 WAN 至 SRM 的 IPv4 流量無對應規則:允許 / 拒絕 IPv4 傳入流量存取 SRM。
      • 如果 WAN 至區域網路的 IPv4 流量無對應規則:允許 / 拒絕 IPv4 傳入流量存取 Synology Router 的用戶端裝置。
      • 如果 WAN 至 SRM 的 IPv6 流量無對應規則:允許 / 拒絕 IPv6 傳入流量存取 SRM。
      • 如果 WAN 至區域網路的 IPv6 流量無對應規則:允許 / 拒絕 IPv6 傳入流量存取 Synology Router 的用戶端裝置。

注意事項:

  1. 控制台 > 系統 > SRM 設定勾選允許網際網路連線存取 SRM 核取方塊即可透過 HTTP / HTTPS 連接埠自網際網路存取 SRM。若不要允許此操作,請取消勾選此核取方塊。
  2. WAN 至 SRM 與 WAN 至區域網路的流量規則預設為拒絕以提升網路安全並防止所有外部裝置存取您的 SRM 或區域網路。
  3. 新增防火牆規則時,您必須使用防火牆規則欲允許的 IP 位址登入 SRM。請勿透過 QuickConnect 登入 SRM。
  4. 若使用 QuickConnect 登入 SRM 服務,QuickConnect 的機制可能會防止防火牆過濾流量。請在 SRM 上停用 QuickConnect 服務以避免此問題。
  5. 防火牆規則在清單上的順序越前面,優先權越高。
  6. 防火牆規則無法阻擋來自區域網路的流量。

如何新增防火牆規則以允許或拒絕 IP 位址存取 DSM?

如何新增防火牆規則以允許或拒絕 IP 位址存取 DSM?

目的

在您的 DSM 上新增防火牆規則以允許或拒絕特定 IP 位址存取某些網路連接埠,防止未經授權的登入並控制服務存取。

解決方法

僅允許特定 IP 位址存取 DSM

  1. 前往控制台 > 安全性 > 防火牆並依照此文章的步驟啟動及新增防火牆規則。1
  2. 若只要允許特定 IP 位址 (例如:192.168.50.xxx 與 192.168.50.xxx) 存取您的 DSM 但拒絕其他 IP 位址進行存取,請新增兩個防火牆規則。

僅拒絕特定 IP 位址存取 DSM

  1. 前往控制台 > 安全性 > 防火牆並依照此文章的步驟啟動及新增防火牆規則。1
  2. 若只要拒絕特定 IP 位址 (例如:192.168.50.xxx 與 192.168.50.xxx) 存取您的 DSM 但允許其他 IP 位址進行存取,請新增兩個防火牆規則。

注意事項:

  1. 新增防火牆規則時,您必須使用防火牆規則欲允許的 IP 位址登入 DSM。請勿透過 QuickConnect 登入 DSM。
  2. DSM 防火牆僅能過濾傳入流量但無法過濾傳出流量。
  3. DSM 防火牆不支援 MAC 位址篩選功能。
  4. 若使用 QuickConnect 登入 DSM 服務,QuickConnect 的機制可能會防止防火牆過濾流量。請在 DSM 上停用 QuickConnect 服務以避免此問題。
  5. 防火牆規則在清單上的順序越前面,優先權越高。
  6. 若多個網路連接埠連接至同一個子網路,防火牆規則可能無法正常運作。
  7. 若使用 Link Aggregation 合併多個 LAN 埠,防火牆只會套用第一個網路介面的規則。
  8. 若 Synology NAS 欲透過 PPPoE 連線至網際網路,必須在相對應的 PPPoE 介面上設定相關的防火牆規則。

我的 Synology NAS 使用 VPN 連線,是否能透過 DDNS 連線至 Synology NAS?

我的 Synology NAS 使用 VPN 連線,是否能透過 DDNS 連線至 Synology NAS?

詳情

若您在 Synology NAS 上啟動使用遠端網路的預設閘道,所有的網路流量將會導至遠端 VPN 伺服器。您的 DNS 主機名稱將指向您正在使用的 VPN 伺服器的 IP 位址,而非 Synology NAS 的 IP 位址,因而無法透過 DDNS 來存取您的 Synology NAS。

解決方法

位於區域網路內

若與 Synology NAS 位於相同的區域網路內:

  • 直接使用 Synology NAS 原先的區域網路 IP 位址進行連線。

使用外部網路

若透過網際網路進行連線:

  • 使用 Synology QuickConnect 來存取您的 Synology NAS (請參閱此文章以了解詳細步驟)。1
  • 確認遠端 VPN 伺服器網路的閘道連接埠是否能夠導向至您的 Synology NAS。2

注意事項:

  1. 若已啟動使用遠端網路的預設閘道,Synology QuickConnect 將會透過遠端 VPN 伺服器連線至您的 Synology NAS。
  2. 僅特定 VPN 供應商提供此服務。

為什麼上傳 / 下載速度緩慢?

Synology Router Manager

為什麼上傳 / 下載速度緩慢?

  • 如果已啟動流量控制,網路速度提昇功能將被停用,一般傳輸速度可能因此變慢。若要停用流量控制,請前往網路中心 > 流量控制 > 進階 > 設定
  • 請確認裝置的自訂速度設定是否已被修改。請前往網路中心 > 流量控制 > 一般 > 自訂速度來進行檢查。
  • 如果已建立大量的防火牆或連接埠轉送規則,Wi-Fi 傳輸可能因為變得緩慢。若要移除防火牆規則,請前往網路中心 > 安全性 > 防火牆。若要移除連接埠轉送規則,請前往網路中心 > 網際網路 > 連接埠轉送