安全性丨傳統NAS與新興最大差距，威聯通TS-464C2上手告訴你爲啥

大家好，我是加勒比考斯。

很高興再次與大家見面~

關於NAS的安全性很多玩家可能真的不清楚，比如硬盤壽命大概是多少？是否需要組建RAID陣列，組了RAID還需要備份嗎？外網訪問必須要配置SSL嗎？內外端口怎麼設置？是否需要殺毒軟件？是否需要快照？組了RAID還需要定期磁盤檢查嗎？

這些都是問題，所以咱們來一次性解答。

這次我們採用的測試平臺是威聯通TS-464C2，還是目前消費級裏面最頂級的4盤位旗艦NAS，它採用的是N5095四核心四線程處理器，8GB可拓展內存，注意內存可以拓展了，另外SSD散熱部分也做了優化改進，其餘的還是維持原來的2個USB3.2 Gen2 10Gbps接口，一個HDMI2.0接口等；新機器整體外觀改了配色，新顏色更加適合商務風。

威聯通TS-464C2機身背部，接口還維持TS-464C原樣，威聯通最厲害的部分就是把CPU的帶寬總分利用，竟然給了2個USB3.2 Gen2 10Gbps接口，1個HDMI2.0接口，4盤位SATA6.0Gbps盤位接口，2個NVMe SSD接口（PCIe3.0*2的總線，速度被限制2GB/s）,畢竟威聯通NAS雙2.5G網口進行SMB多通道聚合，速度也才600MB/s，足夠NAS使用了。

整體就硬件而言，這款NAS已經達到了家用4盤位天花板級別。尤其是內存部分不受限後，我們玩家可以使勁拓展了~

好了，咱們這篇既然講NAS安全性，那麼就可以從NAS本身所帶的各種功能技術出發，以威聯通爲例，大家可以看看傳統NAS在這方面的底蘊~

硬盤壽命預測

關於NAS可以選擇的硬盤比較多，分別有企業盤、NAS盤、監控盤。無論是希捷、西部數據還是東芝都出有類似的盤，選擇方面可以從這三個品牌來進行選擇。

從可靠性與壽命方面而言：企業盤＞NAS 盤＞監控盤＞普通盤

很多玩家可能會在企業盤和 NAS 盤之間糾結，企業盤都是5年質保，NAS盤都是3年質保，質保也就意味着正常使用下的壽命，很多玩家想着企業級硬盤明明可靠性最高，壽命最長，但是爲什麼 NAS 盤如今卻也能火了呢？借用一個玩家的話：

NAS 盤的設計思路是低功耗，靜音，IO 不用拉滿，靠譜程度 60 分就 OK。而企業盤的設計思路是：功耗隨意，噪音隨意，讀寫快一些，靠譜程度起碼 80 分。兩者對比而言，NAS 盤的轉速低、功耗低，噪音低，發熱低，適合於家庭與小型企業環境。企業盤則是轉速高、功耗高、發熱大，最重要的一點是，企業盤的噪音問題，咔咔咔炒豆子的聲音在機房是屬於正常，但是對於某些家庭玩家來說是真的難以忍受！

還有一部分玩家選擇監控盤。監控盤主要針對的工作環境是視頻流數據的持續穩定性寫入，並沒有針對存儲服務器經常性讀寫改動數據這個環境進行優化，所以可靠性並不會太高，所以不是很推薦。

以威聯通爲例，通過存儲與快照總管，可以看到每個硬盤的狀態都可以看的非常清楚。

同時通過威聯通內置DA drive軟件還可以預測硬盤壽命，但是這個軟件只給了一個硬盤的體驗資格，其餘的硬盤預測則需要收費，但是能白嫖一個硬盤位置是一個硬盤位置，因爲威聯通關於硬盤的檢測技術很多。別家有的它都有，別家沒有的它也有。

比如酷狼的IronWolf健康管理、SMART硬盤信息查詢，硬盤全面掃描測試等等。

2、RAID磁盤陣列

磁盤陣列（Redundant Arrays of Independent Disks，RAID），有“獨立磁盤構成的具有冗餘能力的陣列”之意。磁盤陣列是由很多價格較便宜的磁盤，組合成一個容量巨大的磁盤組，利用個別磁盤提供數據所產生加成效果提升整個磁盤系統效能。利用這項技術，將數據切割成許多區段，分別存放在各個硬盤上。

簡而言之，RAID可以提供安全性、讀寫性能、存儲池容量，具體根據陣列類型而定！

RAID方案常見的可以分爲6種。

JBOD、RAID 0、RAID 1、RAID 5、RAID 6、RAID 10

JBOD（Just a bunch of disk）嚴格上來說不是一種RAID，因爲它只是簡單將多個磁盤合併成一個大的邏輯盤，並沒有任何的數據冗餘。數據的存放機制就是從第一塊磁盤開始依序向後存儲數據。如果某個磁盤損毀，則該盤上的數據就會丟失。

RAID 0無冗餘備份，存儲池包含所有硬盤容量，硬盤全部用來提升讀寫能力。簡單而言：假設10塊硬盤組成RAID 0陣列，存儲池讀寫能力變成單個硬盤的讀寫能力的10倍！硬盤只要損壞一塊，陣列內所有硬盤的數據會立刻丟失。

RAID 1是一種鏡像磁盤陣列，其原理就是把一塊硬盤的數據以相同位置指向另一塊硬盤的位置。RAID 1又稱爲Mirror或Mirroring，它的宗旨是最大限度的保證用戶數據的可用性和可修復性。它只支持2塊硬盤。存儲池容量只有單塊硬盤容量大小，不能提高存儲性能，硬盤可以允許隨機損壞一塊。它的高數據安全性，尤其適用於存放重要數據，如服務器和數據庫存儲等領域。

RAID 5將數據以塊爲單位分佈到各個硬盤上。RAID5不對數據進行備份，而是把數據和與其相對應的奇偶校驗信息存儲到組成RAID5的各個磁盤上，並且奇偶校驗信息和相對應的數據分別存儲於不同的磁盤上。當RAID5的一個磁盤數據損壞後，利用剩下的數據和相應的奇偶校驗信息去恢復被損壞的數據。它的容量爲（n-1）塊硬盤總容量，存儲性能提升（n-1）倍，硬盤可以允許隨機損壞一塊。

RAID 6同RAID5一樣，數據和校驗碼都是被分成數據塊然後分別存儲到磁盤陣列的各個硬盤上。RAID6加入了一個獨立的校驗磁盤，它把分佈在各個磁盤上的校驗碼都備份在一起，這樣RAID6磁盤陣列就答應多個磁盤同時出現故障，它會進行兩次奇偶校驗，以提供寫入保護，因而RAID 6的寫入速度小於其它級別的RAID。RAID 6容量爲（n-2）塊硬盤總容量，存儲性能提升（n-2）倍，硬盤可以允許隨機損壞2塊。但是在4塊硬盤的情況下，RAID 6的計算相較於RAID 10而言會更加密集，所以重建速度較慢。

RAID 10其實結構非常簡單，首先創建2個獨立的RAID 1，然後將這兩個獨立的RAID 1組成一個RAID 0，RAID 10容量爲2塊硬盤總容量，存儲性能提升2倍，硬盤可以防止兩個磁盤同時出現故障，但是這兩塊硬盤不能是存儲同一份數據的硬盤。如果發生意外，RAID 10重建速度較RAID 6更快。

以威聯通爲例：

家用配置推薦：

單一靜態卷以及RAID 1，不需要高速緩存加速，不需要威聯通Qtier陣列。

企業配置推薦：

RAID5或者RAID6，推薦上高速緩存加速技術，或者威聯通Qtier陣列技術。

此外，還值得一說的是威聯通的存儲池與存儲卷。

威聯通的存儲池架構如下：

這張圖是威聯通 QTS 的存儲系統架構，底層是物理硬盤，上層是邏輯存儲區域。物理硬盤 HDD/SSD 構成存儲池 Storage Pool，存儲池之上劃分卷 Volume，捲上劃分共享文件夾 Shared Folder。

用我們平常使用的 Windows 系統進行類比：

1、Shared Folder 相當於 Windows 下的一個文件夾，可以單獨配置用戶的存取（Access）權限。

2、Volume 即是邏輯分區，例如 C 盤、D 盤這樣的。

3、Storage Pool 即是對底層硬盤的一層邏輯封裝，將 RAID 等底層細節隱藏，不暴露給上層的操作系統或應用程序。當底層硬盤發生更換、故障時，都不會影響上層系統的運行（前提是你做了 RAID1 等冗餘設置）。

4、Hard Drives 即是在現實中真實存在的硬盤本體。

通過 HDD/SSD 構成存儲池 Storage Pool 的過程就是使用磁盤陣列（RAID）來進行。

簡而言之，RAID 可以提供安全性、讀寫性能、存儲池容量，具體根據陣列類型而定！

一般而言，建立完存儲池後就需要在上面建卷，咱們以威聯通的 NAS 系統爲例，在存儲池上又提供厚卷、精簡卷 2 種卷形式。請注意，靜態卷由於不具備存儲池的屬性（快照、Qtier、版本控制），所以這個是單獨另外建立的，它與存儲池層級並列，且建立好就可使用。

靜態卷：適合放置對磁盤性能要求高的應用或文件，例如作爲下載盤，或者用於存放虛擬機的硬盤。不支持快照。

厚卷：支持快照、LUN，適合存放照片等一般文件。沒有特殊需求的話一般使用厚卷。

精簡卷：支持快照、LUN，空間非常靈活，用多少就佔用多少，原理和虛擬機的虛擬硬盤類似。性能比較差。

對於一般玩家玩家而言，如果沒有快照與 Qiter 的需求，筆者更推薦靜態卷，性能大概會好個 10%~20%。

3、最強備份工具

傳統的3-2-1數據備份原則作爲黃金數據保護法則，對於任何存儲環境均行之有效。隨着時間推移，它如今已經演化成爲各種企業級數據保護方案最基本的概念。然而下放到消費級而言，咱們依然可以從根本出發來實施該原則，它可以提供安全的數據保護，以及遇到災難後的數據還原。

數據備份的3-2-1規則規定，應在兩個不同的存儲介質上至少存儲三個數據副本或版本，其中一個不在現場設施中存儲。以下了解這三個要素中的每個要素及其要解決的問題：

圖片來自Veeam

3個數據副本：除了原有的副本，你應該始終讓你的重要數據有兩個額外的備份副本，無論是存儲在服務器、NAS、硬盤驅動器、網盤或其他地方。這將確保不會發生一次單一的事件而毀掉所有重要數據的情況。

2種不同的存儲介質：用戶應該將數據的副本以至少兩種不同的媒介或存儲類型保存。這可能包括一個內部驅動器，以及外部媒介，如磁盤、磁帶、閃存、以及NAS或雲盤存儲。理想情況下，本地備份的其中之一應該採用映像技術，例如蘋果公司的Time Machine其能夠備份整個操作系統、應用程序和文件來創建本地備份，所以您不必重新安裝或重新配置您的系統偏好了。從本質上講，映像備份可讓您將整個系統恢復到一個特定的時間點。每種媒介都有不同的故障模式，而這就保證了不會有一樣的故障模式。

1個異地備份：將至少一份備份存儲在異地是保證數據免於受到類似火災，水災或盜竊等物理災難損害的必要措施。當您已經對您重要的數據創建了多個副本之後，保存初始原件的完整性就顯得異常重要，否則有該原件所備份的每個副本都會有相同的缺陷。如果你將其存儲到多個位置，必須檢查所有文件都是一致的。這樣，重複數據刪除技術將確保你能消除冗餘的數據塊，而加密將增加安全性，而分類編目和索引將方便您進行快速檢索。

3-2-1數據備份原則一直是很好的法則，如果玩家能理解並且遵守這個原則，那麼找數據保護層面會節省大量的時間和成本。

而對這個3-2-1這個法則詮釋的最完美的就是威聯通HBS3應用，注意是最好，沒有之一。

威聯通通過HBS3應用即可創建3-2-1數據備份原則。威聯通HBS 3是將數據備份、復原、同步等功能整合到一個應用裏面，通過USB單鍵備份、Time Machine備份、RTRR遠程備份（或通過RTRR、Rsync、FTP、CIFS/SMB文件同步等作法）等超強備份功能可以將 QNAP NAS 中的數據備份或同步到另一臺 QNAP NAS、遠程服務器或雲服務中。

它支持的雲有非常多，通過 HBS 3 ，咱們可以將資料快速同步到到百度雲盤、WebDAV、Google Drive、Microsoft OneDrive 、HUAWEI Cloud、Dropbox、Box、Yandex Disk、Amazon Cloud Drive、Amazon S3、Amazon Glacier、Azure Storage、Google Cloud Storage，以及與S3、OpenStack Swift、WebDAV兼容等各個雲端，或者同步到遠程NAS、Rsync、FTP、CIFS/SMB等遠程端的備份。

此外，還值得一提的是威聯通的HybridMount雲網關工具，這是一個非常強大的工具，其他家NAS都沒有，它可以把雲盤直接掛載成本地文件夾來使用。

它具有兩種裝載模式，可幫助您創建符合您需求的混合雲環境。文件雲網關模式可將您的NAS變身爲雲網關，支持您裝載不同的雲存儲帳戶。您不僅可以從File Station訪問雲帳戶，還可以訪問通過SMB、NFS、AFP和FTP等網絡協議連接的其他設備上的存儲。這樣可以將遲延降至最低，並提高訪問雲存儲時的性能。File Station裝載模式支持在本地NAS上使用File Station訪問裝載的雲存儲帳戶和遠程設備上的數據。

4、快照定時存檔

大家之前應該都玩過單機遊戲，大多數單機遊戲都有存檔功能，你可以任意時候選擇存檔，如果後面GAME OVER就可以讀檔接着來。快照就是一個存檔功能。

威聯通的快照備份可以針對於NAS的某一個狀態進行存檔。你可以主動存檔，也可以設置定時自動存檔，如每週一次。威聯通快照爲數據提供區塊級保護，快照可以記錄厚卷、精簡卷或區塊 iSCSI LUN 在特定時間點的狀態。意外刪除或修改快照中的數據時，可將其迅速恢復至該狀態。

威聯通的快照功能可以時間軸的方式呈現，也可以列表形式呈現。玩家可以對快照進行命名並且添加說明，當誤操作或者數據丟失的時候，可以隨時在這裏進行恢復。這些快照可以選擇7天到期，也可以永久保留。此外玩家還可啓用智能快照空間管理後，存儲池空間不足時會刪除舊的快照。如果禁用此功能，請特別留意存儲空間，以確保存儲空間不會意外不足。

另外羣暉也有這個快照功能，但極空間與綠聯目前還沒有。

5、內置殺毒應用

Security Counselor

Security Counselor 可爲 NAS 進行安全風險評估，並建議合適的安全性設定以防範可能的風險和危機。其主要的優點是整合防病毒軟件與掃描惡意軟件的應用程序，而且能夠直白告訴你NAS上還有什麼安全策略需要執行，同樣的也不過多消耗NAS資源。

Malware Remover

定時掃描您的 NAS、清除受感染的文件，類似以前我們用的掃描木馬病毒工具，可定時去掃描，該軟件平時不會消耗NAS資源，推薦大家使用。

McAfee

通過安裝 McAfee 防毒服務，QNAP 用戶可手動或定時掃描，保護數據不受病毒威脅，修復已中毒的文件，避免病毒因文件分享而再度擴散，更可隨時更新病毒庫。

QuFirewall

QuFirewall 是一款防火牆應用程序，可幫助您高效保護設備免受外部網絡攻擊。QuFirewall 內置三組配置文件，【Basic Protection】、【Include subnets only】、【Restricted security】嚴格等級不同，一般推薦選第一個，【Include subnets】僅允許 NAS 區網子網的所有端口，【Resttricted security】僅允許 NAS 區網子網及所選地區的部分端口。