Auf "immer" würde ich die Sperre nicht setzen. Gelegentlich sperrt man sich selbst auch aus.
Die IP-Sperre ist ein durchaus sinnvoller Schutz und sollte immer aktiv sein, wenn Dienste das NAS direkt ins Internet gestellt werden. Sie verhindert, dass ein Angreifer mal so eben alle Passwörter aus seiner Datenbank durchprobieren kann. Aber die IP-Sperre ist kein Allheilmittel und kann nicht alle Angriffe verhindern!
Die Angriffstaktik gegen eine IP-Sperre besteht darin, von vielen verschiedenen Rechner aus Loginversuche zu unternehmen oder zumindest einen großen Bereich von IPs zu kontrollieren. Wenn der Angreifer 10.000 Rechner hat, kann er schon pro NAS 50.000 oder mehr Passwörter durchprobieren, ohne dass die IP-Sperre zuschlägt, und macht er das für alle NAS, die er im Internet findet, wird er bestimmt einige funktionierende Zugangsdaten erhalten. Aber ein solches Botnetz muss der Angreifer erst einmal unter Kontrolle bringen oder im Darknet mieten. Sein Angriff wird durch die IP-Sperre also erheblich erschwert.
Dann gibt es noch Angriffe, gegen die die IP-Sperre völlig wirkungslos ist, nämlich über Sicherheitslücken oder in HBS (unfreiwillig?) einprogrammierte Hintertüren. Da nützt eine IP-Sperre gar nichts, da der erste Einbruchsversuch bereits erfolgreich ist.
Die gerade massenhaft genutzte QLocker-Ransomware ist so ein Fall, gegen den die IP-Sperre wirkungslos war. Dort wurden wohl fest einprogrammierte Zugangsdaten in HBS (möglicherweise eingefügt für Tests und dann vergessen) verwendet.