家庭NAS用ssl证书加反向代理的安全性怎样？

real***

如题，网络方面是小白，但是爱折腾。跟着各个网站论坛搞了软路由、群晖NAS，开启了一堆服务。
由于有电信的公网IP，为了方便外网访问NAS和上面的各个服务，就学着申请了域名，在群晖上用acme脚本实现申请和自动更新let's encrypt的SSL证书，然后用群晖自带的反向代理（nginx的简化版）给各个NAS上的服务用，这样外网也可以用https+域名+端口号访问各个服务了。虽然有加密证书，但也需要在路由器上把各个端口转发出去。

1，想问一下，这种反向代理+SSL证书的方式，安全性如何？
2，不懂原理，但是觉得把一堆端口暴露在外网好像有点不安全，所以最近又尝试在openwrt的旁路由上部署了wireguard，这样只需要主路由转发一个wireguard的UDP端口。（这样部署的话，便利性又差了点）。

所以想请大佬给解释答疑一下，到底安全性该如何平衡？

Conc***

侧重点不同
ssl是防止被抓包泄露登录密码
wireguard能额外防止端口上的服务存在漏洞被利用

real***

Concises 发表于 2022-5-17 14:49
侧重点不同
ssl是防止被抓包泄露登录密码
wireguard能额外防止端口上的服务存在漏洞被利用

多谢指点。
那按您的意思，如果我nas上安装的服务有漏洞，即便有SSL证书，安全性也难以保障是吗？

for***

看看.......

Conc***

realkaka 发表于 2022-5-17 15:28
多谢指点。
那按您的意思，如果我nas上安装的服务有漏洞，即便有SSL证书，安全性也难以保障是吗？

当然啊 ssl只负责通讯加密 又不会阻止人家访问你的页面和交互

11544***

学学，我目前ssl没弄，端口没改。需要那个端口就映射那个端口。也在考虑安全的问题了 。

real***

1154410020 发表于 2022-5-17 17:56
学学，我目前ssl没弄，端口没改。需要那个端口就映射那个端口。也在考虑安全的问题了 。

是的 折腾了半天其实有很多伪需求。真正经常用的没几个，路由器的防火墙也不太懂，所以为了这点功能，暴露一堆端口在外网，感觉是有点心虚。

yunx***

OPNsense

ic***

感觉有个https就行了，基本只用到几个端口，如果白群晖的照片服务啥的这么容易有漏洞就惨了

real***

icsy 发表于 2022-7-7 14:43
感觉有个https就行了，基本只用到几个端口，如果白群晖的照片服务啥的这么容易有漏洞就惨了

是的 目前折腾了一段时间，就在主路由转发了两个端口。一个是wireguard的UDP端口，一个是Nginx Proxy Manager的https监听端口。然后在nginx proxy manager的主机上再安装一个fail2ban做简易的防火墙。

sz***

有没有大神能指导一下官改2.1D怎么加ssl证书