在美国，不玩 BT PT 什么的，就备份一点自己买的动漫光盘和一些 4k 录像，预估未来 5 年数据量 30TB 以内，有什么高安全性（必须支持全盘加密、SMB 传输加密）高性价比的 NAS 方案？不喜欢折腾，最好是成品

@drymonfidelia #11 看看这个 https://learn.microsoft.com/en-us/windows-server/storage/file-server/smb-secure-traffic#block-inbound-smb-access

@dilidilid 只是不想要买太低性价比的硬件，以前买的企业级硬件出二手至少 70%off

Windows：

强制 SMB 签名：为了确保 SMB 共享过程中的数据完整性，可以通过组策略强制启用 SMB 签名。签名可以有效防止中间人攻击和数据篡改。

配置路径：计算机配置 > 管理模板 > 网络 > 网络安全 > SMB 服务器签名

@drymonfidelia 没懂你的意思，你买 4 年前的消费级硬件板 U 出二手也 70% off 呀。成品除了群晖甚至根本不存在二手市场，三折出售已经算不错的了。你的这个需求随便弄个成品或者弄个 Windows 主机都行，只要不开放端口到公网没人拿漏洞打你，不要想太多了

@drymonfidelia #10 有的。
https://learn.microsoft.com/en-us/windows-server/storage/file-server/smb-signing-overview

https://learn.microsoft.com/en-us/windows-server/storage/file-server/file-server-smb-overview

#11 技术上，应用层认证和加密不可被替代；工程上，只要你的物理环境和网络基础设施是可信的（且受到持续保护的），划分 VLAN 、实施 DAI 和 IPSG 、实施端口安全，乃至实施保护的端口/PVLAN 、ACL 、VRF 都可以解决地址安全（真实且被授权）问题。

国内买国外产品，保安全，国外买国内产品，保平安。

@drymonfidelia 安全的 SMB/CIFS 并不需要 TLS 。如果想要确保安全，实际上只要用最新的 Windows Server 版本，搭建 AD 域及域控和 DNS ，DNS 要 enable dnssec ，file server 强制 SMB 3.1.1 （即强制 pre-authentication integrity ，V1V2 当然绝对要禁掉的）即可。如果用 Linux ，最新版的 SAMBA server 应该也能做到，域控还是必需的。当然，这些都是成品满足 OP 的要求

当然，真这样做的话可能就会有老旧的客户端连不上啦。没用过群晖但是可以推测也是可以做到的，大概率就是禁止或强制开启某些选项把。但是出于兼容的考虑其实当前 SMBV2 还是大行其道的呢

最后，想说的是漏洞多其实并不可怕，只是表明产品比较 popular

二手服务器, 带 12 块 3.5 吋硬盘笼的那种, 带不带 raid 卡看自己选择, 硬 Raid 还是软 Raid 自己选择.
硬盘二手还是全新看自己选择.
系统装 Windows server, 不用去盗版激活, 下载个 180 天试用版, 后面不去激活系统也能用. 开启 Bitlocker 加密, 自己记好密钥, 只用 SMBv3.

@drymonfidelia #2 你可以看看这里 https://www.synology.com/en-us/security/advisory/Synology_SA_25_06

这些都被修复了，https://www.synology.com/en-us/security/advisory

你内网都有不可信设备了
那还内个毛
不喜欢折腾就成品群晖 没必要考虑别的

smbv1 是绝对不能用的，smb v2 也可以抛弃。
smb v3 是 2012 年出现的，现在还有什么软件是 2012 年的，且不可替代？

@mayli 有可能是在一个比较大的局域网，有其它用户。当然不可信。

你需要一个 windows server

@allplay 真巧。2012 年本人买了一个 Buffalo linkstation ，到现在整 13 年连硬盘都没有坏掉过所以也没舍得淘汰，最新固件 20130731 默认还是 v1 幸好后来可以 hack ssh 进去改为 v2 ，一直正常工作直至去年域控制器升级成 server 2025 之后无论如何也不能加入域（估计和 SMB signing 有关），最后没有办法只好另外开了一个 server 2022 单独给它作域控，

还能凑合用，windows/macos/linux 的客户端都还支持，也没觉得有什么不安全的

truenas mini ?

@ranaanna
openmediavault 里面有个功能叫 remote mount ，其它系统应该有类似的但不知叫什么。具体就是：
把你的 smb v1 的设备 mount 起来，然后开一个 smbv3 的服务出去，WebDav 也行，你原来的 smb v1 只是新的服务底层的一个目录。底层虽然不安全，但暴露给外面是安全的。
就相当于内网 HTTP 没有加密，但是反代后 HTTPS 加密了。

@allplay 那就局域网开个 vpn ？

楼主的安全涉及到几个层面：
传输加密 smb v³加密
静态加密 bitlocker 实现，需要 TPM ，可选
签名认证 smb v3 签名认证
登录保护 既然需要 bitlocker 了，当然还要保护登录，这个也靠 TPM
这些全部实现，在消费级产品里面，只能靠 Windows ！

不折腾的话，我觉得威联通比群晖好，因为价格便宜，该有的功能都有，经过市场验证。后台稍微复杂但你不折腾

@ddczl
复议威联通
主要是铁马威更难用
成品没有了