是這樣的拉
最近又看到NAS出現被勒索狀況
看了一下 都有開放對外沒IP限制都能直接到網頁登入畫面?
以往被勒索好像都是這樣子的人中?
如果NAS上直接設白名單IP才能連
是不是就能擋下勒索軟體?
還是NAS上有開其他後門 開了白名單也沒用?

SSL 證書可以付費購買，也可以用常見的Let's encrypt 等免費簽發。差異僅在於驗證簽發方式有差。線上DNS驗證，或是實體企業商業驗證，商業目的的門面網站才會考量用付費SSL。原PO的想法和需求非常常見，只是適用場景比較偏向架站的資安領域。網路上有很多的類似教程，購買VPS 架設網站，VPS本身的後台管理和存取，僅允許前段用cloudflare 或是其他類似服務 IP 反代登入存取。也就是僅有白名單cloudflare IP才可進入。抗CC，抗DOS打爆網站，禁止未授權的IP駭入等。VPS 腳本更新cloudflare IP白名單清單， iptable防火牆設定僅允許cloudflare IP 進入。cloudflare也有相關的設定選項。不是說要買VPS 和SSL證書，而是如同原PO所需要的，保護VPS不被駭客入侵，如同外連公網的NAS，設定白名單IP清單，僅允許特定對象的IP登入VPS/NAS。http://tny.im/tjkVPN 是一個解決方法，速度的確會掉一些，wireguard協議至少還不錯。http://tny.im/tjlSynology DSM + Cloudflare Tunnel

用VPN , 不然前端就用有UTM/NGFW的FIREWALL

請問要怎麼設定 "只有持有憑證的裝置才能連線" ???

http://tny.im/tjMIP 掃描又不是最近才有，網路發展到現在就有一堆現成的黑牌白牌工具應用。不一定要有固定IP，DDNS也可以，但要有網域，就可以DNS驗證簽發SSL證書。就可以DNS驗證簽發免費SSL證書。Letsencrypt BuyPass Google.com Public CA ZeroSSL

不開PORT 又要能對外,除非你一個人用...而一個人用那就用VPN就好了有一個只開一個PORT 但可以跑 多種PORT的方法而且第一個面對的也不是NAS有興趣的可以去研究 sslhngrok 也可以看看以前玩過連上某個PORT 驗證後，自動 Allow 連上的IP這 POrt 可以1024 以外的任一個PORT 比如 9527

用網域申請SSL我知道，但是不懂怎麼設定才能「只有持有憑證的裝置才能連線」？請問有參考網址或者是關鍵字可以查詢嘛？

中文找不到，就用英文單字找。

我的VPN 有啟用 OTP

可以建議一下嘛？我真不知道怎麼下英文關鍵字去找ssl + 「只有持有憑證的裝置才能連線」翻到 Mutual Authentication 再來研究看看