应用程序门户
应用程序门户可让您配置各种应用程序的连接设置,使您可以在独立浏览器选项卡或窗口中直接访问和运行这些应用程序(如 File Station)。
注:
- 您可为应用程序(如 Audio Station、Download Station、Surveillance Station、Video Station、File Station)编辑访问设置。
自定义别名
您可为每个 Synology 开发的应用程序(如 File Station)指定别名。通过自定义别名,您可通过特定的 URL 快速打开该应用程序。
若要自定义应用程序别名:
- 请进入控制面板 > 应用程序门户 > 应用程序。
- 请选择一个应用程序。
- 单击编辑 > 常规。
- 在弹出窗口中,选择启用自定义别名并指定别名。
- 单击确定以保存设置。
注:
- 部分应用程序有默认别名:Audio Station (audio)、Download Station (download)、File Station (file)、Surveillance Station (cam) 和 Video Station (video)。
- 别名不能与保留供系统和浏览器使用的名称或其他应用程序使用的名称相同,且其字符数必须介于 2 到 20 个字符之间。
- 别名只能由字母、数字字符和两个特殊字符 (-) 和 (_) 混合构成。
- 别名不可以特殊字符 (-) 或 (_) 开头和结尾。
若要通过别名访问应用程序:
为应用程序(如 File Station)设置别名后,您可输入以下格式的 URL 快速打开应用程序:http://DS_IP_OR_SERVER_NAME/ALIAS/
或 https://DS_IP_OR_SERVER_NAME/ALIAS/
例如,您可通过 URL 快速访问 File Station:http://192.168.xx.xx/file/
或 https://MySynologyNAS/file/
自定义 HTTP/HTTPS 端口
您可为 Synology 开发的每个应用程序(如 File Station)指定 HTTP/HTTPS 端口。通过自定义端口,您可通过特定的 URL 快速打开该应用程序。
若要自定义应用程序 HTTP/HTTPS 端口:
- 请进入控制面板 > 应用程序门户 > 应用程序。
- 请选择一个应用程序。
- 单击编辑 > 常规。
- 在弹出窗口中,选择启用自定义端口 (HTTP) 或启用自定义端口 (HTTPS)。
- 指定自定义端口号。
注:
- 端口号范围可以是 1 和 65535 之间。
- 以下端口保留供系统使用,不能使用:
- 20、21、22、23、25、80、110、137、138、139、143、199、443、445、515、543、548、587、873、993、995、3306、3689、5000、5001、5005、5006、5335、5432、6881、8080、7000、7001、8081、9997、9998、9999、50001、50002
- eMule 默认端口:4662 (TCP)、4672(UDP)
- FTP 默认端口范围:实际范围视不同的型号而定。
若要通过 HTTP/HTTPS 端口访问应用程序:
在为应用程序(如 File Station)设置 HTTP/HTTPS 端口后,您可输入以下格式的 URL 快速打开应用程序:http://DS_IP_OR_SERVER_NAME:HTTP_PORT
或 https://DS_IP_OR_SERVER_NAME:HTTPS_PORT
例如,您可通过 URL 快速访问 File Station:http://192.168.xx.xx:7000
或 https://MySynologyNAS:7001
若要为 HTTPS 端口配置证书和 TLS/SSL 配置文件等级:
在为应用程序(如 File Station)设置 HTTPS 端口后,您可以进入控制面板 > 安全性 > 证书,然后单击配置。然后找到名称格式为应用程序_名称 - HTTPS_端口的服务,以配置使用的证书。
还可以进入控制面板 > 安全性 > 高级,然后单击自定义设置。然后找到名称格式为应用程序_名称 - HTTPS_端口的服务,以配置使用的 TLS/SSL 配置文件等级。
例如,如果 File Station 的 HTTPS 端口是 7001,则可以进入上述两个设置页面,然后在 FileStation - 7001 名称下找到服务以进行进一步配置。
自定义域
您可将域名与 Synology 开发的应用程序(如 File Station)进行匹配。通过自定义域,您可通过特定的 URL 快速打开该应用程序。
若要自定义应用程序域:
- 请进入控制面板 > 应用程序门户 > 应用程序。
- 请选择一个应用程序。
- 单击编辑 > 常规。
- 在弹出窗口中,选择启用自定义域。
- 指定自定义域。
- 要进行其他设置,您可选择启用 HSTS 或启用 HTTP/2 以满足您的需要。
注:
- 设置此功能之前,您需向域供应商申请域名,以便用户可从 Internet 访问该服务。
- 每个域名仅可用于 DiskStation 中不同的应用程序。
- 如果域名长度未超过 15 个字符并且符合 NetBIOS 命名规则,系统将自动注册和播送域名。
- 当通过使用域名的 URL 访问应用程序时,您会通过标准的 HTTP 端口 (80) 或标准的 HTTPS 端口 (443)。
- 如果您使用 Let's Encrypt 颁发的证书启用访问控制,则可能会导致证书自动续订失败。如果发生这种情况,请先禁用访问控制。然后进入控制面板 > 安全性 > 证书,右键单击要续订的一个 Let's Encrypt 证书,然后选择续订证书。续订证书之后,可以重新启用访问控制。
若要通过域访问应用程序:
在为应用程序(如 File Station)设置域(如 file.example.com)后,您可输入以下格式的 URL 快速打开应用程序:http://APP_DOMAIN
或 https://APP_DOMAIN
例如,您可通过 URL 快速访问 File Station:http://file.example.com
或 https://file.example.com
如果应用程序(如 File Station)的域名(如 FileFile)符合 NetBIOS 命名规则,Windows 用户可使用下列类似 URL 访问同一本地网络中的 Synology NAS 上的应用程序:http://FileFile
或 https://FileFile
若要为域配置证书和 TLS/SSL 配置文件等级:
在为应用程序(如 File Station)设置域后,您可以进入控制面板 > 安全性 > 证书,然后单击配置。然后找到名称格式为应用程序_名称 - 域的服务,以配置使用的证书。
还可以进入控制面板 > 安全性 > 高级,然后单击自定义设置。然后找到名称格式为应用程序_名称 - 域的服务,以配置使用的 TLS/SSL 配置文件等级。
例如,如果 File Station 的域是 file.example.com,则可以进入上述两个设置页面,然后在 FileStation - file.example.com 名称下找到服务以进行进一步配置。
若要指定访问控制配置文件:
在为应用程序(如 File Station)设置访问控制配置文件后,被拒绝的用户无法通过输入本文中提到的指定 URL 来打开此应用程序。
- 请进入控制面板 > 应用程序门户 > 应用程序。
- 请选择一个应用程序。
- 单击编辑 > 常规。
- 在弹出窗口中,单击启用访问控制并选择访问控制配置文件。有关如何创建访问控制配置文件的更多信息,请参阅下面的自定义访问控制配置文件。
- 单击确定以保存设置。
自定义反向代理服务器规则
您的 DiskStation 可用作反向代理服务器,将请求从 Internet 传输到本地网络中的设备。反向代理服务器规则可帮助您对潜在威胁隐藏敏感端口,如以下两种情况:
情况 1:假设敏感端口为 80,根据防火墙规则该端口不允许外部访问。您可设置反向代理服务器规则,让受信任的用户通过另一个开放端口(如 81)从 Internet 到达敏感端口 80。这样,受信任的用户可绕过防火墙,仍可访问端口 80。
情况 2:假设敏感端口为 80,除特定设备外(如名为“MyTrustee”的服务器),该端口不允许外部访问。通过反向代理服务器规则,您可仅让来自 MyTrustee 的流量到达端口 80,而来自其他设备的流量则不会到达此端口。
若要设置反向代理服务器规则:
- 请进入控制面板 > 应用程序门户 > 反向代理服务器。
- 单击创建并在常规页面中指定以下设置:
- 描述:指定有助于您识别规则功能的名称。
- 为来源(从 Internet 发送请求的设备)和目的地(本地网络中的设备)指定规则:
- 协议:来源/目的地使用的 HTTP 或 HTTPS 协议
- 主机名:来源/目的地设备的名称
- 端口:来源/目的地设备使用的端口
- 启用 HSTS 和启用 HTTP/2(仅适用于来源)
- 若要指定访问控制配置文件,请单击启用访问控制并选择访问控制配置文件。有关如何创建访问控制配置文件的更多信息,请参阅下面的自定义访问控制配置文件。
注:
- 在创建下拉菜单中单击 WebSocket 可快速创建 WebSocket 功能标头,以便让反向代理服务器可以支持 WebSocket。
- 若要调整反向代理服务器的其他行为,请进入高级设置页面。
- 代理服务器连接超时(秒):设置代理服务器连接到目标服务器的时间限制。
- 代理服务器发送超时(秒):设置代理服务器发送请求到目标服务器的时间限制。
- 代理服务器读取超时(秒):设置代理服务器等待目标服务器响应的时间限制。
- 代理服务器 HTTP 版本:选择代理服务器与目标服务器之间进行通信的 HTTP 版本。
- 使用目标服务器发回的错误页面:勾选此选项后,当目标服务器发回错误 HTTP 代码时,会显示目标服务器的网络错误页面。否则,将会显示 DiskStation 错误页面。
- 单击确定以保存设置。
自定义访问控制配置文件
如果您要根据用户的来源 IP 来限制用户对应用程序门户或反向代理服务器的访问,则可以创建访问控制配置文件。被拒绝的用户将看到拒绝访问页面。
若要创建访问控制配置文件:
- 请进入控制面板 > 应用程序门户 > 访问控制配置文件。
- 单击创建。在弹出窗口中,您可在此新配置文件中自定义规则。
- 单击创建可创建新规则。规则会按照从上到下的优先级顺序进行应用,从而确定访问权限。
- 双击规则可进行编辑。若要删除规则,请选择规则并单击删除。
- 单击确定将规则列表保存为新配置文件。
- 单击配置文件的名称字段可进行重命名。
注:
- 如果您将源主机名留空,则规则会应用于任何来源。
- 如果您使用 Let's Encrypt 颁发的证书启用访问控制,则可能会导致证书自动续订失败。如果发生这种情况,请先禁用访问控制。然后进入控制面板 > 安全性 > 证书,右键单击要续订的一个 Let's Encrypt 证书,然后选择续订证书。续订证书之后,可以重新启用访问控制。
- 如果要应用白名单,则除了创建有关允许来源的规则之外,还需要设置有关被拒绝来源的规则以激活规则。
例如,如果仅允许 http://192.168.xx.xx
,则需要
- 添加
http://192.168.xx.xx
作为允许的来源。
- 添加新规则并将其设置为“拒绝”。