Das steht hier schon gefühlte 1.000x 
Antivirus aus dem NAS ist eher eine Verzweiflungstat. ClamAV bietet keinen Echtzeit Schutz, McAfee soll auch nicht so der Brüller sein.
Daß das NAS ins Internet kann, ist weniger ein Thema, wichtig ist, daß das NAS nicht aus dem Internet erreichbar ist, über z.B. irgendwelche Dienste, keine Portweiterleitungen vorhanden sind, UPNP deaktiviert ist, usw.
Die QuFirewall hat auch schon mehr Benutzer ausgesperrt, als sie echte Angriffe verhindert hätte. In meinen Augen überflüssig und man sollte sie erst gar nicht installieren.
Dennoch ist bei allem eines wichtig: Backup, Backups, Backups. Sicherheit heißt auch Sicherheit gegen Hardware- und/oder Elementarschaden.
Gruss
"Sicherheit" ist aber ein sehr weitläufiger Begriff... 
- Physisch: meine NAS stehen alle in Racks / Netzwerkschränken, die nicht einfach so geöffnet werden können (Schlüssel oder Zutrittskontrolle).
- Admin Logins werden nie gespeichert und Admins werden auch nur für administrative Zwecke verwendet.
- Intern verwende ich kein HTTPS, finde es aber nicht verkehrt wenn man sich den Aufwand macht um es doch (komfortabel) zu verwenden.
- Virenscanner gibt es nur auf Laptop/ PC, also den Clients ausgenommen Android, aber nicht auf dem NAS, das ist mMn Quatsch.
- Auf der Firewall werden potentiell gefährliche IPs für alle Geräte geblockt, daher darf das NAS ins Internet wie es möchte. Ihm den Internetzugriff wegzunehmen finde ich etwas übertrieben, aber auch nicht doof.
- Firewall auf den NAS nutze ich nicht, das ist etwas für ganz spezielle Fälle, ansonsten eher Quatsch.
- Wichtig ist, das NAS nicht von außen erreichbar zu machen, daher Zugriff aus der Ferne nur über VPN, welches nicht auf dem NAS angesiedelt ist.
- Gäste im WLAN haben halt ein Gäste WLAN, welches nicht auf interne IPs zugreifen darf.
Sicherlich können jetzt noch hundert weitere Punkte folgen.... ggf. musst Du etwas konkreter werden 
Dennoch ist bei allem eines wichtig: Backup, Backups, Backups.
Huch, wie konnte ich das denn in der Aufzählung vergessen? 
