群晖如何设置仅允许一个局域网访问？

一、配置群晖NAS防火墙以实现仅允许特定局域网访问

在企业或家庭多子网环境中，保护NAS设备的安全性至关重要。本文将深入探讨如何通过群晖的内置防火墙、IP黑白名单以及路由器ACL策略，限制仅允许192.168.1.0/24子网访问群晖NAS的Web管理界面与共享资源，并分析不同子网间是否存在访问穿透风险。

1.1 群晖防火墙基本配置

群晖NAS系统（DSM）自带防火墙模块，位于“控制面板” > “安全性” > “防火墙”。默认情况下，该防火墙允许所有入站连接。要限制访问，需手动创建规则。

配置步骤如下：

1. 进入“控制面板” > “安全性” > “防火墙”。
2. 点击“编辑规则” > “新增”。
3. 设置规则类型为“自定义”。
4. 协议选择TCP，端口填写80（HTTP）、443（HTTPS）、5000/6000（DSM默认端口）。
5. 源IP地址选择“指定IP地址”，输入192.168.1.0/24。
6. 动作选择“允许”。
7. 保存后，再添加一条规则，源IP地址设为“所有IP地址”，动作为“拒绝”。

1.2 使用IP黑白名单增强控制

除了防火墙规则外，还可以通过“IP黑白名单”功能进一步限制访问源。

配置步骤如下：

1. 进入“控制面板” > “安全性” > “账户” > “IP黑白名单”。
2. 添加白名单：添加192.168.1.0/24，设置为“允许”。
3. 添加黑名单：添加0.0.0.0/0，设置为“拒绝”。
4. 注意：黑名单的优先级高于白名单，顺序需合理排列。

1.3 路由器ACL策略的配合

在多子网环境中，仅靠NAS防火墙可能无法完全阻止跨子网访问。因此，建议在路由器或三层交换机上配置ACL（访问控制列表）策略，从网络层进行过滤。

例如，在路由器中添加如下ACL规则（以Cisco IOS为例）：

access-list 101 permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.10 eq 5000
access-list 101 deny ip any host 192.168.2.10

其中，192.168.2.10为NAS的IP地址。

1.4 不同子网间的访问穿透风险分析

在未配置ACL或防火墙规则时，不同子网之间可能存在访问穿透风险，尤其是在以下情况：

• 路由器未启用VLAN隔离。
• NAS的默认防火墙规则未修改。
• 使用了NFS或SMB等协议，未配置IP白名单。

建议在网络层与应用层双重控制，确保即使子网互通，NAS也不会被非法访问。

1.5 验证配置是否生效的方法

配置完成后，需验证是否仅允许192.168.1.0/24子网访问。以下是几种验证方式：

1.6 进阶建议与注意事项

为确保配置安全，建议采取以下措施：

• 启用HTTPS访问，禁用HTTP。
• 定期更新DSM系统与应用程序。
• 配置双因素认证（2FA）。
• 关闭不必要的服务（如FTP、远程桌面）。
• 使用VLAN划分不同功能的子网。

1.7 可视化流程图（Mermaid格式）