在使用Synology NAS的过程中，DSM防火墙是保护NAS免受未授权网络访问、拦截恶意连接的核心安全组件——它能通过“规则控制”允许或拒绝特定IP、端口的网络请求，比如仅开放管理员IP访问DSM管理端口（5000/5001），禁止外部网段访问敏感服务（如SSH、FTP）。但很多用户因不熟悉DSM防火墙的配置逻辑，常出现“启用后无法访问NAS”“规则不生效”等问题。本文基于Synology官方知识库（https://kb.synology.cn/zh-cn/DSM/tutorial/How_do_I_configure_firewall_in_DSM）内容，从“前置准备”“分版本配置步骤”“规则精细化管理”“故障排查”四个维度，详细拆解DSM防火墙的全流程配置，覆盖DSM 7.0（主流版本）与6.2（旧版本）差异，帮你安全、高效地搭建NAS的网络防护屏障。

一、前置准备：配置DSM防火墙前需确认的3个核心条件

DSM防火墙配置对权限、版本及网络规划有明确要求，提前确认以下条件，可避免配置中出现“权限不足”“界面找不到”等问题：

| 准备项目                | 具体要求                                                                 | 检查/确认方法                                                                 |

|-------------------------|--------------------------------------------------------------------------|------------------------------------------------------------------------------|

| 1. DSM版本与NAS兼容性   | 支持所有搭载DSM系统的Synology NAS（基础款如DS224j、高端款如DS923+均支持），DSM版本需为6.0及以上（推荐7.0+，功能更完善） | 登录DSM→“控制面板”→“信息中心”→“常规”：查看“DSM版本”（如“DSM 7.2.1-69057 Update 3”）；确认NAS型号在官方“支持列表”中（无需额外查询，DSM默认自带防火墙功能） |

| 2. 管理员账户权限       | 必须使用“admin账户”或“属于administrators群组的用户”操作（普通用户无防火墙配置权限） | 登录DSM后，点击右上角“头像”：查看当前账户名称；若为普通用户，需切换为admin或联系管理员提升权限 |

| 3. 网络访问规划清单     | 提前明确“需开放的服务/端口”“允许访问的IP范围”（如仅允许公司内网192.168.1.0/24访问DSM，开放80/443端口用于Web服务） | 列出NAS已启用的服务（如DSM管理、Web Station、FTP）及对应端口（参考Synology官方“服务端口列表”），标注“允许访问的IP段” |

关键提醒：配置前建议截图保存当前网络设置（如NAS的IP、已启用的服务端口），若后续因防火墙规则错误导致无法访问，可通过“安全模式”恢复时参考。

二、核心操作：DSM 7.0版本防火墙配置（主流版本，详细步骤）

DSM 7.0对防火墙界面进行了优化，将“启用”“规则配置”“例外设置”整合在同一页面，操作更直观，核心流程分为“启用防火墙→创建规则→保存生效”三步：

步骤1：启用DSM防火墙（基础前提）

1. 登录Synology DSM桌面，点击“控制面板”（蓝色齿轮图标，默认在桌面左侧）； 

2. 在“控制面板”中，找到“安全”分类，点击“防火墙”（图标为盾牌，DSM 7.0中与“证书”“用户账号”同属“安全”板块）； 

3. 进入“防火墙”页面后，首先勾选“启用防火墙”（默认未勾选，勾选后防火墙立即进入“默认拦截”状态——未配置规则前，所有外部网络请求会被拦截，需尽快配置允许规则）； 

4. 勾选“启用防火墙日志”（可选但推荐）：日志会记录所有被允许/拦截的网络请求（如“2025-10-21 14:30: 192.168.1.102访问5001端口被允许”），后续排查问题时可参考，勾选后点击“应用”暂存设置。

步骤2：创建入站/出站规则（核心防护逻辑）

DSM防火墙规则分为“入站规则”（控制外部设备访问NAS的请求，如电脑访问DSM管理页）和“出站规则”（控制NAS主动访问外部的请求，如NAS同步数据到云端），通常优先配置“入站规则”（防护重点），步骤如下：

（1）创建“允许管理员IP访问DSM管理端口”入站规则（必配，避免锁死自己）

1. 在“防火墙”页面，点击“入站规则”→“创建”（绿色“+”按钮），弹出“创建入站规则”向导； 

2. 配置“基本信息”：

- 规则名称：自定义（如“允许管理员IP访问DSM”，便于后续识别）；

- 描述（可选）：填写“仅允许192.168.1.20（管理员电脑IP）访问DSM 5000/5001端口”；

3. 配置“来源”（谁能发起请求）：

- 选择“IP地址”（精准控制），点击“添加”→输入管理员电脑的固定IP（如“192.168.1.20”），若为网段可输入“192.168.1.0/24”（允许整个内网）；

- 避免选择“所有IP”（开放范围过大，有安全风险）；

4. 配置“目标”（NAS的哪个服务/端口）：

- 选择“端口”→“指定端口”，输入DSM管理端口“5000,5001”（5000为HTTP，5001为HTTPS，用英文逗号分隔多个端口）；

- 若需允许其他服务（如Web Station），可后续添加规则，此处优先确保管理员能访问；

5. 配置“服务”与“动作”：

- “服务类型”选择“TCP”（DSM管理用TCP协议）；

- “动作”选择“允许”（允许符合条件的请求）；

6. 点击“下一步”→“完成”，新规则会添加到“入站规则”列表中。

（2）创建“允许内网访问FTP服务”入站规则（示例：按需配置）

1. 重复“创建”步骤，规则名称设为“允许内网访问FTP”； 

2. “来源”输入内网网段“192.168.1.0/24”； 

3. “目标端口”输入FTP默认端口“21”（主动模式）和“50000-50010”（被动模式端口，需与DSM“文件服务→FTP”中的被动端口范围一致）； 

4. “服务类型”选“TCP”，“动作”选“允许”，完成创建。

（3）配置出站规则（可选，默认允许所有）

DSM默认“出站规则”为“允许所有”（NAS可主动访问外部网络，如更新DSM、同步数据），若需限制（如禁止NAS访问特定外部IP），可参考入站规则创建： 

- 规则名称：“禁止NAS访问恶意IP”； 

- “目标”输入恶意IP（如“192.168.2.100”）； 

- “动作”选“拒绝”，其他参数默认，完成后NAS无法访问该IP。

步骤3：调整规则优先级并保存生效

1. 规则优先级：列表中“上方规则优先执行”（如同时存在“允许192.168.1.20访问5001”和“拒绝所有IP访问5001”，上方的允许规则会优先生效）； 

- 若新创建的规则在下方，选中规则后点击“上移”（↑按钮），移到“拒绝所有”规则上方（若有）； 

2. 保存配置：所有规则创建完成后，点击“防火墙”页面底部的“应用”按钮，系统提示“设置已更新”，防火墙规则正式生效。

三、DSM 6.2版本防火墙配置差异（旧版本用户参考）

DSM 6.2与7.0核心逻辑一致，但界面入口和部分标签不同，关键差异点如下，操作步骤简化说明：

| 对比维度       | DSM 7.0版本                          | DSM 6.2版本                          |

|----------------|-----------------------------------|-----------------------------------|

| 入口位置       | 控制面板→安全→防火墙              | 控制面板→防火墙（独立菜单，无需进入“安全”） |

| 启用开关       | 防火墙页面顶部“启用防火墙”复选框   | 防火墙页面“常规”标签→“启用防火墙”复选框 |

| 规则分类       | 入站规则、出站规则（标签页分离）   | 规则→入站、出站（下拉菜单选择）      |

| 日志设置       | 防火墙页面“日志”标签              | 防火墙页面“日志”标签（位置一致，功能相同） |

DSM 6.2创建入站规则简化步骤：

1. 控制面板→防火墙→“常规”→勾选“启用防火墙”→“应用”； 

2. 切换到“规则”标签→“入站”→“创建”； 

3. 后续参数配置（来源、目标、动作）与DSM 7.0完全一致，仅界面标签文字略有差异，按提示完成即可。

四、DSM防火墙规则管理：编辑、删除与预设规则说明

配置完成后，需根据NAS服务变更（如新增Docker服务、关闭FTP）调整规则，核心管理操作如下：

1. 编辑现有规则

1. 进入“防火墙→入站规则/出站规则”； 

2. 找到需修改的规则（如“允许内网访问FTP”），点击右侧“编辑”（铅笔图标）； 

3. 修改参数（如端口范围、允许的IP段），点击“完成”→“应用”，修改立即生效。

2. 删除无用规则

1. 选中无用规则（如已关闭的FTP服务规则），点击“删除”（垃圾桶图标）； 

2. 系统提示“确认删除”，点击“确定”→“应用”，规则删除后不再生效。

3. 预设规则说明（DSM自带，无需手动创建）

DSM内置部分常用服务的预设规则，启用后可快速配置，在“入站规则→创建→预设规则”中选择，常见预设规则如下：

| 预设规则名称   | 适用场景                          | 开放端口/协议                      |

|----------------|-----------------------------------|-----------------------------------|

| HTTP           | 允许访问Web Station等HTTP服务     | 端口80，TCP协议                   |

| HTTPS          | 允许访问HTTPS加密服务（如DSM 5001）| 端口443，TCP协议                   |

| SSH            | 允许通过SSH远程管理NAS            | 端口22，TCP协议                   |

| Synology Drive | 允许访问Synology Drive服务        | 端口6690，TCP协议                  |

五、常见问题：DSM防火墙配置后的4类高频故障及解决方法

1. 问题1：启用防火墙后，管理员无法访问DSM（提示“连接超时”）

核心原因：未创建“允许管理员IP访问DSM端口”的规则，或规则优先级过低（被“拒绝所有”规则覆盖）； 

解决步骤：

1. 进入NAS“安全模式”（开机时按机身“Reset”键3秒，仅重置网络配置，不删除数据）； 

2. 安全模式下DSM防火墙自动禁用，登录后进入“防火墙→入站规则”； 

3. 重新创建“允许管理员IP（如192.168.1.20）访问5000/5001端口”的规则，将其移到规则列表顶部； 

4. 点击“应用”，退出安全模式，重新用管理员IP访问DSM，确认正常。

2. 问题2：防火墙规则配置后，特定服务（如FTP）无法使用

核心原因：未开放服务对应的所有端口（如FTP被动模式端口未配置），或协议选择错误（如用UDP协议配置TCP服务）； 

解决步骤：

1. 确认服务端口：进入“控制面板→文件服务→FTP”，查看“被动模式端口范围”（如50000-50010）； 

2. 检查防火墙规则：确认入站规则中已包含“21（主动）+50000-50010（被动）”端口，协议为“TCP”； 

3. 用“Telnet”测试端口：在电脑上打开命令提示符，输入“telnet NAS_IP 21”（如telnet 192.168.1.10 21），若能连接说明端口开放正常。

3. 问题3：防火墙日志显示“请求被拒绝”，但规则已配置允许

核心原因：规则优先级错误（允许规则在拒绝规则下方），或来源IP/端口与规则不匹配； 

解决步骤：

1. 查看防火墙日志：进入“防火墙→日志”，找到被拒绝的请求记录，记录“来源IP”（如192.168.1.30）和“目标端口”（如80）； 

2. 检查规则列表：确认“允许192.168.1.0/24访问80端口”的规则是否在“拒绝所有”规则上方； 

3. 核对来源IP：若日志中来源IP是192.168.2.30，而规则允许的是192.168.1.0/24，需修改规则来源为正确网段。

4. 问题4：外部网络无法访问NAS的Web服务（已配置HTTPS规则）

核心原因：路由器端口转发未配置，或防火墙规则中“来源”限制为内网（未开放外部IP）； 

解决步骤：

1. 检查路由器：登录路由器管理界面→“端口转发”，添加“外部端口443→内部IP（NAS的192.168.1.10）→内部端口443”的规则； 

2. 检查DSM防火墙：若需允许外部访问，将HTTPS规则的“来源”设为“所有IP”（或特定外部IP段），并移到规则顶部； 

3. 测试：用手机4G网络访问“https://NAS公网IP”，确认能正常打开Web服务。

总结

Synology DSM防火墙配置的核心是“精准规则+合理优先级”——先确保管理员能正常访问，再按需开放服务端口，避免“一刀切”的开放或关闭。无论是DSM 7.0的直观界面，还是6.2的经典布局，关键都在于“明确访问需求→创建对应规则→验证生效”。配置后建议定期检查防火墙日志，及时发现异常连接，调整规则以适应NAS服务变更。

若遇到复杂场景（如多网段访问控制、VPN结合防火墙），可参考Synology官方“高级防火墙配置”文档，或联系400-028-9623客服获取针对性指导，确保NAS在安全的网络环境中运行。

要不要我帮你整理一份“DSM防火墙规则配置检查表” ？清单会包含“必配规则（如DSM访问）”“常见服务端口”“优先级调整要点”，你后续配置或优化时可直接对照勾选，避免遗漏关键防护规则。