高级
可以在此选项卡中配置反向代理服务器规则和访问控制配置文件。进入控制面板 > 登录门户 > 高级。
反向代理服务器
您的 Synology NAS 可用作反向代理服务器,将请求从 Internet 传输到本地网络中的设备。反向代理服务器规则可帮助您对潜在威胁隐藏敏感端口,如以下两种情况所示:
- 情况 1:假设敏感端口为 80,根据防火墙规则,该端口不允许进行外部访问。您可设置反向代理服务器规则,让受信任的用户通过另一个开放端口(如 81)从 Internet 访问敏感端口 80。这允许受信任的用户绕过防火墙,仍可访问端口 80。
- 情况 2:假设敏感端口为 80,除特定设备(如名为“MyTrustee”的服务器)外,该端口不允许进行外部访问。通过反向代理服务器规则,您可仅允许来自 MyTrustee 的流量到达端口 80,而封锁来自其他设备的流量。
若要设置反向代理服务器规则:
- 单击反向代理服务器 > 创建并在常规页面中指定以下设置:
- 反向代理服务器名称:指定名称有助于您识别规则功能。
- 为来源(从 Internet 发送请求的设备)和目的地(本地网络中的设备)指定规则:
- 协议:来源/目的地使用的 HTTP 或 HTTPS 协议。
- 主机名:来源/目的地设备的名称。
- 端口:来源/目的地设备使用的端口。
- 启用 HSTS(仅适用于来源),或选择访问控制配置文件以满足您的需求。
注:有关如何创建访问控制配置文件的更多信息,请参阅下方的访问控制配置文件一节。
- 单击保存来保存设置。
注:您可以创建多个反向代理服务器规则。若要对规则进行更改,请选择规则,然后单击编辑或删除。
若要为反向代理服务器设置自定义标题:
- 单击反向代理服务器 > 创建 > 自定义标题。
- 在创建下拉菜单中单击 WebSocket 可快速创建 WebSocket 功能标题,以便让反向代理服务器可以支持 WebSocket。
- 单击保存来保存设置。
若要更改反向代理服务器的其他行为:
- 单击反向代理服务器 > 创建 > 高级设置,然后修改以下选项:
- 代理服务器连接超时(秒):设置代理服务器连接到目标服务器的时间限制。
- 代理服务器发送超时(秒):设置代理服务器发送请求到目标服务器的时间限制。
- 代理服务器读取超时(秒):设置代理服务器等待目标服务器响应的时间限制。
- 代理服务器 HTTP 版本:选择代理服务器与目标服务器之间进行通信所使用的 HTTP 版本。
- 使用目标服务器发回的错误页面:如果勾选了此选项,则当目标服务器发回错误 HTTP 代码时,会显示目标服务器的网络错误页面。否则,将显示 Synology NAS 错误页面。
- 单击保存来保存设置。
访问控制配置文件
如果您要根据用户的源 IP 来限制用户对应用程序登录门户或反向代理服务器的访问,则可以创建访问控制配置文件。被拒绝的用户将看到访问被拒页面。
若要创建访问控制配置文件:
- 单击访问控制配置文件 > 创建。在弹出窗口中,您可为此新配置文件输入配置文件名称并自定义规则。
- 单击创建可创建新规则。双击源 IP 或 CIDR 字段以指定源 IP 或 CIDR。
- 从下拉菜单中选择允许或拒绝。
- 再次单击创建以创建其他规则。确定访问权限的规则会按照从上到下的列出顺序进行应用。
- 若要删除规则,请选择规则并单击删除。
- 单击保存将规则列表保存为新配置文件。
注:可以创建多个访问控制配置文件。若要对配置文件进行更改,请选择配置文件,然后单击编辑或删除。
注:
- 如果未指定源 IP 或 CIDR,则规则会应用于所有来源。
- 如果您使用 Let's Encrypt 颁发的证书启用访问控制,则可能会导致证书自动续订失败。如果发生这种情况,请先禁用访问控制。然后进入控制面板 > 安全性 > 证书,右键单击要续订的 Let's Encrypt 证书,然后选择续订证书。续订证书后,可以重新启用访问控制。
- 如果要应用白名单,则除了创建有关允许来源的规则之外,还需要设置有关拒绝来源的规则以激活规则。
例如,如果仅允许http://192.168.xx.xx,则需要- 添加
http://192.168.xx.xx作为允许的来源。 - 添加新规则并将其设置为“拒绝”。
- 添加
反向代理服务器
访问控制配置文件