peco

第一次,站长亲自招 Gopher 了>>>

# 一、网络传输的安全性 ## 1、常见网络协议 常见的网络协议可以分为 **HTTP/HTTPS(应用层)** 、**TCP(传输层)** 、**UDP(传输层)** 三种。在NAS里,DNS解析域名、视频转发一般走UDP,SMB/FTP等走TCP,而各种docker和web服务,则走HTTP/HTTPS协议。 HTTP是使用明文传输数据,明文传输的数据虽然封装在请求中,普通用户不易直接获取,但若被恶意攻击者截获,数据极易被解析。而HTTPS则是上HTTP之上,增加了SSL/TLS加密协议,让请求传送不再以明文形式出现。 **1️⃣HTTP:** 明文传输协议,所有数据(包括 URL、Cookie 和 POST 请求内容)未经加密,可通过抓包工具直接截获,**仅适用于不敏感信息传输**。 **2️⃣SSL:** 一种加密协议,属于会话层,位于 **HTTP 应用层与 TCP 传输层之间**,为数据添加加密"外壳";但因早期版本(如 SSL 3.0)存在漏洞(如 POODLE 攻击),**已全面被 TLS 取代**。 **3️⃣HTTPS:**** ** **HTTP over SSL/TLS** 的实践组合,通过 SSL/TLS 对 HTTP 通信加密(非简单叠加 TCP),使传输内容不可被破解或篡改,**解决身份认证与数据隐私问题**(如防钓鱼网站、中间人攻击)。 **4️⃣TLS:** IETF 在 SSL 3.0 基础上标准化后的协议,初期版本(TLS 1.0)与 SSL 3.0 差异微小,但后续迭代(如 TLS 1.2/1.3)强化了加密算法(如 AES-GCM)和密钥交换机制(如 ECDHE)和安全性,**成为现代 HTTPS、邮件加密(SMTPS/IMAPS)等场景的底层标准**。 ↓ **SSL证书申请**:https://www.joyssl.com/certificate/?nid=7 填写注册码(**230907**)即可申请SSL证书 ↑  ## 2、HTTPS 和 SSL 证书 根据HTTP/HTTPS的性质,我们认为,**无论如何都应该使用HTTPS来访问Web服务**。而在使用HTTPS的时候,我们又会涉及到了另一个内容,那就是SSL证书。 简单来说,SSL证书是网站的身份证明,**类似于"数字身份证"** ,是实现HTTPS安全通信的核心工具。SSL证书分为**自签**和**可信机构**颁发。 当用户访问HTTPS网站时,SSL证书会完成两个核心任务: - **验证网站身份**:确保用户访问的是真实服务器,而非钓鱼网站。 - **加密传输数据**:通过SSL/TLS协议建立加密通道,防止数据被窃听或篡改。 **1️⃣不可信证书** 不可信证书主要包括证书过期、域名不符、CA不受信等。还有一个比较特殊的就是自签证书,自签证书本身可以加密通信,但由于未经受信 CA 认证,浏览器会提示风险,需手动信任,访问时会触发安全警告(如"此连接非私人")。  平常,自签证书主要用于**内部测试**或**封闭环境**(如局域网NAS),需要手动导入证书到客户端信任列表。 在NAS里,我们可以看到各式各样的供HTTP/HTTPS/TLS的端口。以极空间为例,在**网络相关设置**里,我们可以看到默认的直连端口,如HTTP(5055)、HTTPS(5056)、TLS(5050)。  以及在WebDav服务中的HTTP端口和HTTPS端口。  **2️⃣可信证书** 可信证书一般由各大CA颁布,分为**增强型(EV)、企业型(OV)、域名型(DV)三类**,其中EV安全性最高,OV其次,DV最低。个人常用的是DV证书(如Let’s Encrypt),而企业常用OV或EV证书。如果CA不在可信列表里,那它颁布的证书也是不可信的。 它可以让我们直接打开网站,而无需经过不安全提醒这一步,表现在可以同构网页左上角的小锁查询到详细信息。  SSL证书信息,可以看到公钥和证书的SHA-256信息。 一个SSL证书由公钥和密钥组成,公钥用于加密数据(公开可见),私钥用于解密(仅服务器持有)。证书信息包含域名、证书有效期、颁发机构(CA)等。 在NAS里,也会提供SSL证书的服务,帮助我们管理官方服务、自定义服务的SSL证书申请、续签、替换等。 还是以极空间为例,在**网络相关设置-证书管理**里,可以看到极空间自签证书和可替换自有证书,这里的服务主要用于WebDav、FTPS服务。 极空间自签证书有效期是1年,快过期的时候重新生成一下就可以。如果平时不使用自己的域名,那就直接使用极空间自签证书即可。 自有证书一般是要使用自己的域名情况下,支持手动上传、在线申请两种模式。**手动上传**,就是把我们在各大CA厂家申请的证书上传,主要要上传密钥、证书两个,中间证书可以不上传。 ↓ **SSL证书申请**:https://www.joyssl.com/certificate/?nid=7 填写注册码(**230907**)即可开始申请SSL证书 ↑ 而**在线申请**则支持在Joy主流平台申请。 Joy支持阿里云、腾讯云、CF的验证需要注意的是,这里的域名是支持统配域名的,即`*.web.com`。 申请的速度很快,大概2-3分钟就可以了。 申请的证书默认是3个月有效期,**极空间支持安全证书的自动续签**,所以我们就不用管了,等时间快到极空间就会自动去续签,十分方便。 ## ## 3、关于安全证书所在的位置 大致翻了一下自有证书的文件路径,应该保存在`/zspace/applications/services/openresty/cert`下,分别是`(私钥)private2.key`和`(证书)server2.crt`。** ** **⭐不过没有验证过,可以自行验证一下,注意有风险因素,确保自己知道在干啥!** * * * # # 二、文件存储的安全性 尽管使用HTTPS协议,并不一定能保证网络的绝对安全,这里还有一些其它的加密方法可以参照。 比如极空间内置的**安全管理**应用,支持进行勒索病毒防护,Q1新版本也将发布防火墙、Clamav等额外的网络安全功能。 那么除了在网络层面的安全放户外,在NAS自身的文件存储方面,也是有一些加密的手段可以做的,比如极空间的保险箱工具。 设定了保险箱之后,只有凭借6位数密码才可以打开保险箱内的文件。一旦重置保险箱,所有保险箱内数据都会被清除,确保数据的绝对保险。 保险箱应用支持从极空间内部导入文件,也支持从PC端上传和导入文件/文件夹。 还可以创建保密备忘录,虽然这个备忘录使用的是记事本功能,但是依旧单独被隔离在保险箱应用里,外部无法打开。 * * * ↓ **SSL证书申请**:https://www.joyssl.com/certificate/?nid=7 填写注册码(**230907**)即可申请SSL证书 ↑ # # 总结 尤其是对网络和计算机知识不熟悉的NAS用户,采用如HTTP服务、默认web端口、弱口令访问、DMZ全开等方式,很容易让NAS成为 bot 的扫描攻击对象。 平时大家如果担心自己通过某些应用、某些宽带传输资料会泄露的,那就更需要采用HTTPS+可信SSL的模式,将NAS传输中的明文进行加密处理,从根源上减少数据被抓取的风险,真正的做好隐私保护。

有疑问加站长微信联系(非本文作者))

358 次点击

上一篇:LLM大语言模型算法特训,带你转型AI大语言模型算法工程师

下一篇:新考纲-系统架构设计师(软考高级)一站式通关课程(25章完结)

信息 web 注册码 传输层

• 编辑
• 预览