是这样的拉
最近又看到NAS出现被勒索状况
看了一下 都有开放对外没IP限制都能直接到网页登入画面?
以往被勒索好像都是这样子的人中?
如果NAS上直接设白名单IP才能连
是不是就能挡下勒索软件?
还是NAS上有开其他后门 开了白名单也没用?

SSL 证书可以付费购买，也可以用常见的Let's encrypt 等免费签发。差异仅在于验证签发方式有差。线上DNS验证，或是实体企业商业验证，商业目的的门面网站才会考量用付费SSL。原PO的想法和需求非常常见，只是适用场景比较偏向架站的资安领域。网络上有很多的类似教程，购买VPS 架设网站，VPS本身的后台管理和存取，仅允许前段用cloudflare 或是其他类似服务 IP 反代登入存取。也就是仅有白名单cloudflare IP才可进入。抗CC，抗DOS打爆网站，禁止未授权的IP骇入等。VPS 脚本更新cloudflare IP白名单清单， iptable防火墙设定仅允许cloudflare IP 进入。cloudflare也有相关的设定选项。不是说要买VPS 和SSL证书，而是如同原PO所需要的，保护VPS不被骇客入侵，如同外连公网的NAS，设定白名单IP清单，仅允许特定对象的IP登入VPS/NAS。http://tny.im/tjkVPN 是一个解决方法，速度的确会掉一些，wireguard协议至少还不错。http://tny.im/tjlSynology DSM + Cloudflare Tunnel

用VPN , 不然前端就用有UTM/NGFW的FIREWALL

请问要怎么设定 "只有持有凭证的装置才能连线" ???

http://tny.im/tjMIP 扫描又不是最近才有，网络发展到现在就有一堆现成的黑牌白牌工具应用。不一定要有固定IP，DDNS也可以，但要有网域，就可以DNS验证签发SSL证书。就可以DNS验证签发免费SSL证书。Letsencrypt BuyPass Google.com Public CA ZeroSSL

不开PORT 又要能对外,除非你一个人用...而一个人用那就用VPN就好了有一个只开一个PORT 但可以跑 多种PORT的方法而且第一个面对的也不是NAS有兴趣的可以去研究 sslhngrok 也可以看看以前玩过连上某个PORT 验证后，自动 Allow 连上的IP这 POrt 可以1024 以外的任一个PORT 比如 9527

用网域申请SSL我知道，但是不懂怎么设定才能“只有持有凭证的装置才能连线”？请问有参考网址或者是关键字可以查询嘛？

中文找不到，就用英文单字找。

我的VPN 有启用 OTP

可以建议一下嘛？我真不知道怎么下英文关键字去找ssl + “只有持有凭证的装置才能连线”翻到 Mutual Authentication 再来研究看看