本内容来源于@什么值得买APP，观点仅代表作者本人 ｜作者：可爱的小cherry

搭好了NAS，但是不懂做好网络加密，那么隐私泄露也会随时发生！

大家好，这里是Cherry，喜爱折腾、玩数码，热衷于分享数码玩耍经验~

很多使用NAS的小伙伴，总会在夜深人静的时候思考一个问题，那就是NAS在公网传输数据，究竟安不安全？

比如家里放了NAS，运营商会不会抓取到我的数据；比如公司里的NAS，网管会不会获取到我的隐私数据；比如我装了各样的docker，这些docker服务究竟安全不安全，会不会后台偷偷传数据等等。毕竟大部分人买NAS，为的就是本地存储的绝对安全和隐私，否则真不如买个网盘+PC。

今天，cherry就从最基础的HTTP/HTTPS服务说起，让大家了解一下NAS在公网传输时究竟有没有数据泄露的风险，以及应该通过哪些方式来避免数据的明文传输。

一、网络传输的安全性

1、常见网络协议

常见的网络协议可以分为 HTTP/HTTPS（应用层）、TCP（传输层）、UDP（传输层） 三种。在NAS里，DNS解析域名、视频转发一般走UDP，SMB/FTP等走TCP，而各种docker和web服务，则走HTTP/HTTPS协议。

HTTP是使用明文传输数据，明文传输的数据虽然封装在请求中，普通用户不易直接获取，但若被恶意攻击者截获，数据极易被解析。而HTTPS则是上HTTP之上，增加了SSL/TLS加密协议，让请求传送不再以明文形式出现。

1HTTP：

明文传输协议，所有数据（包括 URL、Cookie 和 POST 请求内容）未经加密，可通过抓包工具直接截获，仅适用于不敏感信息传输。

2SSL：

一种加密协议，属于会话层，位于 HTTP 应用层与 TCP 传输层之间，为数据添加加密“外壳”；但因早期版本（如 SSL 3.0）存在漏洞（如 POODLE 攻击），已全面被 TLS 取代。

3HTTPS：

HTTP over SSL/TLS 的实践组合，通过 SSL/TLS 对 HTTP 通信加密（非简单叠加 TCP），使传输内容不可被破解或篡改，解决身份认证与数据隐私问题（如防钓鱼网站、中间人攻击）。

4TLS：

IETF 在 SSL 3.0 基础上标准化后的协议，初期版本（TLS 1.0）与 SSL 3.0 差异微小，但后续迭代（如 TLS 1.2/1.3）强化了加密算法（如 AES-GCM）和密钥交换机制（如 ECDHE）和安全性，成为现代 HTTPS、邮件加密（SMTPS/IMAPS）等场景的底层标准。

2、HTTPS 和 SSL 证书

根据HTTP/HTTPS的性质，我们认为，无论如何都应该使用HTTPS来访问Web服务。而在使用HTTPS的时候，我们又会涉及到了另一个内容，那就是SSL证书。

简单来说，SSL证书是网站的身份证明，类似于“数字身份证”，是实现HTTPS安全通信的核心工具。SSL证书分为自签和可信机构颁发。

当用户访问HTTPS网站时，SSL证书会完成两个核心任务：

验证网站身份：确保用户访问的是真实服务器，而非钓鱼网站。

加密传输数据：通过SSL/TLS协议建立加密通道，防止数据被窃听或篡改。

1不可信证书

不可信证书主要包括证书过期、域名不符、CA不受信等。还有一个比较特殊的就是自签证书，自签证书本身可以加密通信，但由于未经受信 CA 认证，浏览器会提示风险，需手动信任，访问时会触发安全警告（如“此连接非私人”）。

平常，自签证书主要用于内部测试或封闭环境（如局域网NAS），需要手动导入证书到客户端信任列表。

在NAS里，我们可以看到各式各样的供HTTP/HTTPS/TLS的端口。以极空间为例，在网络相关设置里，我们可以看到默认的直连端口，如HTTP（5055）、HTTPS（5056）、TLS（5050）。

以及在WebDav服务中的HTTP端口和HTTPS端口。

2可信证书

可信证书一般由各大CA颁布，分为增强型（EV）、企业型（OV）、域名型（DV）三类，其中EV安全性最高，OV其次，DV最低。个人常用的是DV证书（如Let’s Encrypt），而企业常用OV或EV证书。如果CA不在可信列表里，那它颁布的证书也是不可信的。

它可以让我们直接打开网站，而无需经过不安全提醒这一步，表现在可以同构网页左上角的小锁查询到详细信息。

这是微信公众号的SSL证书信息，可以看到公钥和证书的SHA-256信息。

一个SSL证书由公钥和密钥组成，公钥用于加密数据（公开可见），私钥用于解密（仅服务器持有）。证书信息包含域名、证书有效期、颁发机构（CA）等。

在NAS里，也会提供SSL证书的服务，帮助我们管理官方服务、自定义服务的SSL证书申请、续签、替换等。

还是以极空间为例，在网络相关设置-证书管理里，可以看到极空间自签证书和可替换自有证书，这里的服务主要用于WebDav、FTPS服务。

极空间自签证书有效期是1年，快过期的时候重新生成一下就可以。如果平时不使用自己的域名，那就直接使用极空间自签证书即可。

自有证书一般是要使用自己的域名情况下，支持手动上传、在线申请两种模式。手动上传，就是把我们在各大CA厂家申请的证书上传，主要要上传密钥、证书两个，中间证书可以不上传。

而在线申请则支持在Let’s Encrypt和ZeroSSL两个主流平台申请。

Let’s Encrypt支持阿里云、腾讯云、CF的验证，ZeroSSL需要EAB认证，操作方法和主流的SSL申请一致，填完就可以了。需要注意的是，这里的域名是支持统配域名的，即*.web.com。

申请的速度很快，大概2-3分钟就可以了。

申请的证书默认是3个月有效期，极空间支持安全证书的自动续签，所以我们就不用管了，等时间快到极空间就会自动去续签，十分方便。

3、关于安全证书所在的位置

大致翻了一下自有证书的文件路径，应该保存在
/zspace/applications/services/openresty/cert下，分别是（私钥）private2.key和（证书）server2.crt。

不过没有验证过，可以自行验证一下，注意有风险因素，确保自己知道在干啥！

二、文件存储的安全性

尽管使用HTTPS协议，并不一定能保证网络的绝对安全，这里还有一些其它的加密方法可以参照。

比如极空间内置的安全管理应用，支持进行勒索病毒防护，Q1新版本也将发布防火墙、Clamav等额外的网络安全功能。

那么除了在网络层面的安全放户外，在NAS自身的文件存储方面，也是有一些加密的手段可以做的，比如极空间的保险箱工具。

设定了保险箱之后，只有凭借6位数密码才可以打开保险箱内的文件。一旦重置保险箱，所有保险箱内数据都会被清除，确保数据的绝对保险。

保险箱应用支持从极空间内部导入文件，也支持从PC端上传和导入文件/文件夹。

还可以创建保密备忘录，虽然这个备忘录使用的是记事本功能，但是依旧单独被隔离在保险箱应用里，外部无法打开。

总结

NAS在存储资源的同时，除了要做好数据的备份、同步，也应该关注数据传输、文档共享方面的安全。尤其是对网络和计算机知识不熟悉的NAS用户，采用如HTTP服务、默认web端口、弱口令访问、DMZ全开等方式，很容易让NAS成为 bot 的扫描攻击对象。

平时大家如果担心自己通过某些应用、某些宽带传输资料会泄露的，那就更需要采用HTTPS+可信SSL的模式，将NAS传输中的明文进行加密处理，从根源上减少数据被抓取的风险，真正的做好隐私保护。