拔掉网线最安全。

绝对安全，不插网线，物理隔绝，只玩永远不与公网物理链接的局域网最安全。

接入公网就有风险，要使用公网服务，自然需要做好一定防范，没有绝对安全，绝对安全只有不用公网。

你什么措施都不弄，当然风险高，你适当采取措施，自然获得相对安全。

没必要被所谓风险吓到不用公网服务。

pc，移动设备，天天接入公网，又以为多安全。

你咋知道你pc不是肉鸡呢。

给一些我在用的措施
1。使用ssl加密连接，自己去搞证书，很多，同时控制面板里dsm开启强制加密连接（对除web服务和photosation外有效）。

2。使用域名访问各种服务，不使用端口访问，避免多开端口。只需要转发5001（所有群晖移动app默认端口）和6690（pc端dive客户端用的）。
开启域名访问后，用域名区分服务，所有域名访问都走5001，直接转发到群晖443，群晖自动根据域名设置开启对应服务。只有pc端drive使用6690（客户端上不需要手动加6690端口号），路由转发群晖6690。
使用开5001和6690，好处是所有客户端不需要手动加端口号，只有浏览器地址访问需要手动加5001。如果你家443没有封，就再加一个443也转443，连浏览器地址都不用手动加端口号了。
觉得用5001，6690默认端口不舒服的，可以另开其他端口来转发，麻烦就是所有访问都要手动加自己定义的端口号。
个人认为没太大差别，扫你个开的端口号，不是分分钟的事，管你开多大端口。
如果觉得有必要，可以再把群晖的dsm默认端口5000，5001随便改一个。

3。关闭ssh。临时用临时开，用完关闭。

4。管理员账号设置强密码，开启两部登陆验证，开启账号保护（多少时间内不允许多少尝试等，然后封ip封账户等）。管理员账户不做日常使用，日常尤其在外网使用，只用普通用户账户。

5。普通账户也建议强密码，两步验证，账号保护。但是这会给使用带来不便，自己平衡安全性和便利性。

6。开启日志通知，可以设置每多少时间产生多少日志，就通知你。短时间产生许多不正常行为，导致日志产生超量，就会有通知。

7。没事可以自己看看群晖日志和路由器日志。

8。再机密的，考虑软硬件数据加密，就算被拿去了，也有不同程度的解密门槛呢。不是定向搞你的，没那个时间去费力破解你这个加密，都不知道你这是什么玩意，有啥效益，吃饱了去折腾解密。

9。外挂nas，pc设备，移动存储，公有云等做定期备份，hyperbackup，既预防数据盘坏，也防被黑后，锁住数据被勒索。
--
修改:tysy1230 FROM 171.107.6.*
FROM 171.107.6.*