Categories
在過去企業要進行總公司與分公司,或不同分點間的安全連線網路,需要建構的費用和成本相當高昂,包括價格高昂的 MPLS (多重通訊協定標籤交換) 線路、電信業者的企業用多點 VPN 網路服務 (如中華電信可協助透過該公司的多條 VPN 線路去建構企業內網,金融機構在各地的 ATM 設備也有用這樣的方式處理)、自己購買多台 Fortigate 等品牌的網路防火牆設備建立 Site to Site VPN 連線等等方案,這些方案都不便宜,而 QNAP 推出的 QHora,是我們實測過最划算又省事的企業用路由器了。
QNAP 在 QHora 實現了有彈性的 SD-WAN,整個方案體系稱為 QuWAN。
簡單來說,你有幾個分點就買幾台 QHora,搭配每個分點自己租用的電信業者網路,設定好主要的 Hub 節點與其他 Edge 節點全部部署完後,就能夠自動建立好所有分點到總公司的安全性連線,並且能夠都在同一個內網內工作,台中的分公司可以連回台北總公司的 QNAP NAS 檔案伺服器,或者是其他辦公室內網服務伺服器、印表機等等。台灣分公司也可以將資料安全地傳回日本總公司或歐洲據點,達成全球企業內安全性連網的需求。
不但如此,在網路威脅與勒索軟體攻擊日益猖獗的今天,邊際網路的防護已成為企業資安的第一道,也是最重要的一道防線。然而,對於許多中小企業而言,導入具備入侵防禦系統(Intrusion Prevention System, IPS)等進階功能的網通設備,往往意味著高昂的硬體成本與後續的授權費用。QNAP 推出的 QHora 系列高速路由器不但是滿足了原本企業間各分點的安全聯網需求,近期 QNAP 也針對 QHora 全部部署更新了免費的入侵偵測防禦 IPS 功能,加上能與 QNAP NAS 做良好的連動,讓這系列產品成為市場上 CP 值最高的網路設備。
軟體定義,硬體加值:IPS 如何主動攔截威脅?
傳統的防火牆(Firewall)主要依賴預設的連接埠(Port)與 IP 位址規則來過濾流量,雖然能阻擋未經授權的存取,但對於利用合法通訊埠進行的惡意攻擊行為則顯得力不從心。
而 IPS 則是一種更為主動的防禦機制。它能深入分析網路封包的內容,透過與持續更新的威脅特徵碼資料庫進行比對,即時識別並攔截已知的攻擊手法,例如:病毒、木馬、蠕蟲、間諜軟體,以及試圖利用系統漏洞的入侵行為。QNAP 此次在 QHora 系列路由器中整合 IPS 功能,並透過 QuWAN SD-WAN 平台自動更新威脅資料庫,等於是在企業的網路入口部署了一位全天候的資安哨兵,能有效在威脅進入內部網路前就將其阻斷,大幅降低勒索軟體等攻擊成功的機率。
圖說一:透過雲端的 QuWAN Orchestrator 平台,管理者可以一目了然地掌握所有納管的 QHora 路由器地理位置與拓撲狀態,實現跨分點的集中化管理。
免除授權門檻,照顧中小企業資安需求
QHora-301W、QHora-322 與 QHora-321 等型號,只要將韌體更新至 2.6.0 版本並啟用 QuWAN SD-WAN 服務,即可免費獲得 IPS 功能,能大幅度協助中小企業以相對較低成本提升在邊際網路的資安防線。
從 QuWAN Orchestrator 的管理介面中可以看到,IPS 功能已經能有效運作。如下圖所示,系統在過去 24 小時內已偵測到 55 次低風險威脅,並識別出「TCP suspicious flag setting found」這類可疑行為。這證明了即便在看似正常的網路活動中,IPS 依然能發揮其偵測異常流量的價值。
圖說二:在 QuWAN Orchestrator 的入侵防禦系統 (IPS) 介面中,可清晰看見針對各台設備的威脅分析,系統已成功偵測並記錄了潛在的網路威脅。
不僅是 IPS,更是全方位的 SD-WAN 安全閘道器
QHora 系列路由器的價值不僅止於免費的 IPS。它本身即是一款為現代化辦公室設計的高速路由器,內建 10GbE 與 2.5GbE 連接埠,能滿足高速內外網的傳輸需求。結合 QNAP 強大的 QuWAN SD-WAN 解決方案,更使其成為一台功能完整的安全閘道器。
從管理後台可以看到,QHora 路由器除了 IPS 外,還提供了多項進階功能:
L3/L7 防火牆:支援 DPI(Deep Packet Inspection)深層封包檢測,能識別應用程式層級的流量,進行更精細的存取控制。
GeoIP 封鎖:可直接阻擋來自特定高風險國家的連線請求。
網站內容過濾:保護企業內部使用者,避免連線至惡意網站。
進階路由功能:支援 QoS、VLAN 與 Policy Routing,滿足複雜的網路劃分與管理需求。
圖說三:除了雲端集中管理,管理者也能登入單台 QHora 路由器的儀表板,監控其系統健康度、即時流量、WAN IP 狀態與連線中的客戶端裝置。
透過 QuWAN 的拓撲視圖,企業可以輕易地建立總部 (Hub) 與分點 (Edge) 之間的加密通道。這種架構不僅限於 QNAP 自家設備,透過 Route-based IPsec VPN 標準,也能與第三方品牌的路由器介接,確保企業無論在何處,都能擁有安全、穩定且加密的跨點傳輸,保障資料在傳輸過程中的安全。
圖說四:在 QuWAN 的拓撲檢視中,總部 (Hub) 的 QHora322TP02 與分點 (Edge) 的 QHora322TP01 之間的連線狀態清晰可見,建構出安全的 SD-WAN 網路。
圖說五:管理者能透過平台即時監控各個 WAN 埠的詳細資訊,包含網路吞吐量、延遲 (Latency)、抖動 (Jitter) 與封包遺失率 (Packet loss),確保連線品質。
圖說六:除了在雲端 Orchestrator 平台集中檢視,管理者也可登入單台 QHora 路由器的介面,查看本機的 IPS 日誌。這裡詳細記錄了每一次潛在威脅的來源 IP、目標設備、攻擊類型與特徵碼 ID,便於進行網路鑑識與問題追蹤。
圖說七:QHora 路由器不僅是 SD-WAN 設備,也是一台功能強大的 VPN 伺服器。內建支援 QNAP 自家的 QBelt 協議,同時也涵蓋業界標準的 L2TP、OpenVPN 與新世代的 WireGuard,提供企業員工安全遠端連線的多樣選擇。
圖說八:對於使用非固定制 IP 的企業環境,內建的 DDNS 功能至關重要。QHora 路由器能與 myQNAPcloud 服務整合,將浮動的 WAN IP 綁定至一組好記的網域名稱,簡化遠端存取 VPN 或其他網路服務的設定。
圖說九:透過 VLAN (虛擬區域網路) 功能,企業能將內部網路切割成多個獨立的網段,例如區分訪客、員工與伺服器等不同區域,有效隔離廣播封包並提升安全性。QHora 支援標準的 Tagged 與 Untagged 埠口設定,可輕易與網管型交換器搭配運作。
圖說十:在 QHora 的本地管理介面中,可以清楚看到此設備在 QuWAN 架構中的角色為「Hub」(總部),並已成功連接至 Orchestrator 雲端平台,實現了 Hub-to-edge 的安全連線。
圖說十一:管理者可透過服務埠管理(Port Forwarding)功能,自訂規則將外部網路的連線請求,導向至內部網路中特定的設備與服務,例如將 TCP 10000 埠導向至內部的 NAS。
圖說十二:QHora 路由器提供 WAN Failover (故障轉移) 的進階設定,可連接多條外部線路。當主要線路中斷時,路由器會自動切換至備援線路,確保企業網路永不中斷,是維持商業營運連續性的關鍵功能。
圖說十三:QoS (服務品質) 的規則主要在 QuWAN Orchestrator 上設定,但在本地路由器介面中,管理者可以即時監控不同服務等級 (Service Class) 的流量佔比,確保關鍵應用的網路頻寬得到優先保障。
圖說十四:內建的 DHCP 伺服器詳細列出了所有已連線的客戶端設備,包含其 IP 位址、主機名稱與 MAC 位址。管理者能由此完全掌握內部網路的使用狀況,並可針對特定設備進行 IP 保留設定。
圖說十五:在網路的實體介面設定中,QHora-322 提供了非常直覺的圖形化介面,讓管理者能一眼判斷各個連接埠的狀態。此圖顯示 Port 1 作為 WAN 埠,類型為 2.5GbE,並能即時監看上傳與下載流量。
圖說十六:延續實體介面設定,這裡詳細列出了所有 LAN 埠的配置。QHora-322 提供了多個 2.5GbE 與 10GbE 高速連接埠,可彈性連接各式需要高頻寬的裝置,如 NAS、影音工作站或核心交換器,並為每個 LAN 介面指派獨立的網段。
圖說十七:除了預設的服務埠,QHora 也支援精細的 NAT 通訊埠轉發規則。更重要的是,它允許管理者設定「允許的遠端 IP」,這代表管理者可以指定僅有來自特定 IP 位址的流量才能存取內部服務,相較於對全網際網路開放,此功能可大幅強化安全性,有效縮小攻擊面。
圖說十八:WAN 埠的狀態摘要提供了所有網路管理者需要的關鍵資訊,包含實體埠速度、當前連線速率、連線模式 (PPPoE),以及取得的公開 IP 位址,讓網路障礙排除更加簡單迅速。
結語
QNAP 的 QHora 系列路由器可說是企業應用在各分點與總公司進行安全連線的重要基礎設備,易於安裝使用,近期更免費升級 IPS 功能,可說是精準地切入了中小企業在資安投資上的重點。這項策略不僅大幅提升了產品的附加價值,也讓過去被視為企業級的「主動式防禦」概念,得以在更廣泛的市場中普及。
對於正在尋求建構或升級辦公室網路基礎架構,並希望兼顧高速傳輸與新世代資安防護的中小企業而言,內建 10GbE/2.5GbE 硬體規格、整合 QuWAN SD-WAN 平台,如今再加上免授權 IPS 加持的 QHora 系列路由器,無疑提供了一個極具競爭力的選擇。可以預見,QNAP 未來將持續擴充其資安功能,協助更多企業打造高速、安全且易於管理的現代化網路。
