需求场景
安全性是NAS的根基,为此我是在飞牛前面套了WAF的,希望为授信来源以外的请求额外增加WAF身份认证,这样一般的浏览器访问必须多一层认证,客户端访问需要定制过滤规则。
但我在编写规则时遇到问题,客户端请求形式各异,API/文件查看/相册/影视等请求的User-Agent都不一样,放行条件放宽就没意义了,而且黑客很容易模拟User-Agent。
另外,飞牛客户端请求已经在 雷池社区恶意 JA4 指纹** 黑名单中,想加白名单也缺乏统一特征。
功能建议
建议为客户端增加统一的自定义请求头,让客户端各组件发出的请求统一携带,这样在WAF层就能直接过滤掉,而且不存在统一特征被模拟的可能性。
后续也可以考虑进一步在服务端增加过滤选项,为直接暴露公网的群体增加一重可选保障。
社区建议
既然飞牛已经认真反思安全性问题了,那么强烈建议在社区里新开一个安全性讨论版块,否则安全性反馈跟功能性反馈混在一起,没什么热度的安全性问题又会被淹。
2026-3-24 11:21:34
2026-3-25 12:24:34