最近时间比较多架了Immich取代掉Google相簿
架完又手痒买了一个便宜网域让公网也可浏览
不过全部弄完之后就有点担心安全问题
架设方式是这样的：在TrueNAS上开一台Ubuntu虚拟机，Immich架在虚拟机上用SMB读TrueNA
S的照片；
网络方面则是中华电信->路由器->主机，使用cloudflare tunnel内网穿透加反向代理，路
由器没开port
cloudflare则把能点的安全限制都开最高，WAF锁国家非台湾、threat score>5, known bot
s
网域托管在CF上用它自动办好的https和CA，一个礼拜下来每天都挡超过50个外国IP
想请问这样的架构算是安全吗？
我在想安全分两方面，第一个是虚拟机的部分，上面只有immich等docker服务，有问题重架
就可以；第二个是TrueNAS本身资料安全，入侵者能透过虚拟机更改NAS本身的档案吗？（虚
拟机SMB权限只可读写NAS照片资料夹，但主要资料也就那些照片）
谢谢各位大神！

如果你所谓的安全是指资料不要被删除或加密，那多备份几份比较实际。

乖，防火墙买下去，限定来源+凭证+2FA

买台防火墙顶着吧

防火墙的部分有爬文看人家说新手都啥都不懂买来也不会设定，还是说这也算是快乐折腾的一环xd

要资安就是花钱，想要省钱就是学

买fortigate 有授权的.有简易 WAF 可以用....

至少也得将NAS放在路由器后面，然后路由器全挡，只开VPN还得改奇怪的PORT，这样两道密码认证，想要入侵也得先破VPN，后面还得攻主机漏洞或是破密码

其实是..用 CDN 先挡XDDD , allow CDN IP

干嘛不tailscale+funnel