在過去企業要進行總公司與分公司,或不同分點間的安全連線網路,需要建構的費用和成本相當高昂,包括價格高昂的 MPLS (多重通訊協定標籤交換) 線路、電信業者的企業用多點 VPN 網路服務 (如中華電信可協助透過該公司的多條 VPN 線路去建構企業內網,金融機構在各地的 ATM 設備也有用這樣的方式處理)、自己購買多台 Fortinet 等品牌的網路防火牆設備建立 Site to Site VPN 連線等等方案,這些方案的費用和成本都不便宜,而 QNAP 推出的 QHora,是我們實測過最划算又省事的企業用路由器了。
QHora 實現了有彈性的 SD-WAN,整個方案體系稱為 QuWAN
簡單來說,你的辦公室或廠區,有幾個分點就買幾台 QHora,搭配每個分點自己租用的電信業者網路,設定好總公司主要的 Hub 節點為其中一台 QHora 路由器,其他所有分點裝的 QHora 路由器都設定為 Edge 節點,等你全部部署完後,它們就能夠連上 Hub 節點,自動建立好所有分點到總公司的安全性加密連線,並且能夠都在同一個內網內工作,外人無法存取到你的內網。
實務上案例會是這樣,台中的分公司可以連回台北總公司的 QNAP NAS 檔案伺服器,或者連到其他辦公室,比方說新竹廠區的內網服務伺服器、印表機等等。對跨國企業來,台灣分公司也可以將資料安全地傳回日本總公司或歐洲據點,達成全球企業內安全性連網的需求。
不但如此,在網路威脅與勒索軟體攻擊日益猖獗的今天,邊際網路的防護已成為企業資安的第一道,也是最重要的一道防線。然而,對於許多中小企業而言,要導入具備入侵防禦系統(Intrusion Prevention System, IPS)等進階功能的網通設備,往往意味著高昂的硬體成本與後續的授權費用。而 QNAP 的 QHora 系列高速路由器在這部份則幫大家省了成本,不但滿足了原本企業間各分點的安全聯網需求,近年 QNAP 也針對 QHora 全部部署更新了免費的入侵偵測防禦 IPS 功能,加上能與 QNAP NAS 、QNAP 交換器做良好的連動,配合上述用 SD-WAN 方式進行多據點的企業內網組網,讓這系列產品成為市場上 CP 值最高的網路設備之一。
QNAP QHora 系列路由器究竟是怎樣的設備呢?
CyberQ 在不同辦公室的分點實作部署,開箱這款有意思的產品,我們選的是 QHora-322,它們還有QHora-322、QHora-301W 等型號可選。
兩台堆疊的 QNAP QHora 系列路由器背部。此型號的 I/O 配置相當特殊,總共具備 9 個 RJ45 網路埠,包括標示為「2.5G」的四個連接埠、標示為「10G」的三個連接埠,以及另外兩個(其一標示為 WAN)網路埠。此外還配有一個 USB 埠、Reset 按鈕與 DC 電源輸入。
QNAP QHora-322 SD-WAN 路由器的正面與頂部視角。機身採用純白霧面設計,風格簡潔。左側前方區塊設有電源、網路與系統狀態指示燈,機身側面則印有「QHora Series」字樣。
QHora-322 設備側面的散熱格柵特寫。採用方形矩陣開孔設計,隱約可見內部的主動式散熱風扇。對於具備多個 10G 及 2.5G 高速網路埠的設備而言,良好的散熱設計是確保穩定運作的關鍵,使用時一定要注意不能將這些散熱風扇的散熱孔不小心被阻擋或蓋住,系統會有自動偵測溫度偏高,然後發出警示音提醒你,這時需將被擋住散熱孔的物品移走。
此為 QNAP SD-WAN 路由器 QHora-322 的底部標籤,最重要的一點是台灣製造的產品,在許多市場的資安合規性要件這會是不錯的加分。標籤上提供了預設管理 IP (192.168.100.1)、登入帳號(admin)與密碼(預設為 MAC 位址)等重要資訊。同時也列出了 S/N 序號、MAC 位址,以及安規認證。
軟體定義,硬體加值:IPS 如何主動攔截威脅?
傳統的防火牆(Firewall)主要依賴預設的連接埠(Port)與 IP 位址規則來過濾流量,雖然能阻擋未經授權的存取,但對於利用合法通訊埠進行的惡意攻擊行為則顯得力不從心。
而 IPS 則是一種更為主動的防禦機制。它能深入分析網路封包的內容,透過與持續更新的威脅特徵碼資料庫進行比對,即時識別並攔截已知的攻擊手法,例如:病毒、木馬、蠕蟲、間諜軟體,以及試圖利用系統漏洞的入侵行為。QNAP 此次在 QHora 系列路由器中整合 IPS 功能,並透過 QuWAN SD-WAN 平台自動更新威脅資料庫,等於是在企業的網路入口部署了一位全天候的資安哨兵,能有效在威脅進入內部網路前就將其阻斷,大幅降低勒索軟體等攻擊成功的機率。
透過雲端的 QuWAN Orchestrator 平台,管理者可以一目了然地掌握所有納管的 QHora 路由器地理位置與拓撲狀態,實現跨分點的集中化管理。本案例是在台北市區的主要辦公室為 Hub 節點,桃園市龜山區華亞科的廠區為 Edge 節點,兩地間即透過 SD-WAN 的方式完成兩邊內網聯通的組網建置。
免除 IPS 授權門檻,照顧中小企業資安需求
QHora-301W、QHora-322 與 QHora-321 等型號,只要將韌體更新至 2.6.0 版本以上,並啟用 QuWAN SD-WAN 服務,即可免費獲得 IPS 功能,能大幅度協助中小企業以相對較低成本提升在邊際網路的資安防線。
從 QuWAN Orchestrator 的管理介面中可以看到,IPS 功能已經能有效運作。如下圖所示,系統在過去 24 小時內已偵測到 55 次低風險威脅,並識別出「TCP suspicious flag setting found」這類可疑行為。這證明了即便在看似正常的網路活動中,IPS 依然能發揮其偵測異常流量的價值。
在 QuWAN Orchestrator 的入侵防禦系統 (IPS) 介面中,可清晰看見針對各台設備的威脅分析,系統已成功偵測並記錄了潛在的網路威脅。
全方位的 SD-WAN 安全閘道器
QHora 系列路由器的價值不僅止於免費的 IPS,由於它本身是一款為現代化辦公室設計的高速路由器,內建 10GbE 與 2.5GbE 連接埠,能滿足高速內外網的傳輸需求。結合 QNAP 設計易於組網的 QuWAN SD-WAN 解決方案,更使其成為一台功能完整的小型安全閘道器。
從上方圖片的管理後台可以看到,QHora 路由器除了 IPS 外,還提供了多項進階功能:
L3/L7 防火牆:支援 DPI(Deep Packet Inspection)深層封包檢測,能識別應用程式層級的流量,進行更精細的存取控制。
GeoIP 封鎖:可直接阻擋來自特定高風險國家的連線請求。
網站內容過濾:保護企業內部使用者,避免連線至惡意網站。
進階路由功能:支援 QoS、VLAN 與 Policy Routing,滿足複雜的網路劃分與管理需求。
除了雲端集中管理,管理者也能登入單台 QHora 路由器的儀表板,監控其系統健康度、即時流量、WAN IP 狀態與連線中的客戶端裝置。
透過 QuWAN 的拓撲視圖,企業可以輕易地建立總部 (Hub) 與分點 (Edge) 之間的加密通道。這種架構不僅限於 QNAP 自家設備,透過 Route-based IPsec VPN 標準,也能與第三方品牌的路由器介接,確保企業無論在何處,都能擁有安全、穩定且加密的跨點傳輸,保障資料在傳輸過程中的安全。
在 QuWAN 的拓撲檢視中,總部 (Hub) 的 QHora322TP02 與分點 (Edge) 的 QHora322TP01 之間的連線狀態清晰可見,建構出安全的 SD-WAN 網路。
管理者能透過平台即時監控各個 WAN 埠的詳細資訊,包含網路吞吐量、延遲 (Latency)、Jitter 與封包遺失率 (Packet loss),確保連線品質。
除了在雲端 Orchestrator 平台集中檢視,管理者也可登入單台 QHora 路由器的介面,查看本機的 IPS 日誌。這裡詳細記錄了每一次潛在威脅的來源 IP、目標設備、攻擊類型與特徵碼 ID,便於進行網路鑑識與問題追蹤。
QHora 路由器本身還具備 VPN 伺服器功能,除了內建支援 QNAP 自家的 QBelt 協議,同時也涵蓋業界標準的 L2TP、OpenVPN 與新世代的 WireGuard 等 VPN 協定,提供企業員工安全遠端連線的多樣選擇。
透過 VLAN (虛擬區域網路) 功能,企業能將內部網路切割成多個獨立的網段,例如區分訪客、員工與伺服器等不同區域,有效隔離廣播封包並提升安全性。QHora 支援標準的 Tagged 與 Untagged 埠口設定,可輕易與網管型交換器搭配運作。
管理者也可透過服務埠管理(Port Forwarding)功能,自訂規則將外部網路的連線請求,導向至內部網路中特定的設備與服務,例如將 TCP 10000 埠導向至內部的 NAS。同時呢,連外網的部分,可以進行 WAN Failover (故障轉移) 的進階設定,可連接多條外部線路。當主要線路中斷時,路由器會自動切換至備援線路,確保企業網路不中斷,是維持商業營運連續性的關鍵功能。
內建的 DHCP 伺服器詳細列出了所有已連線的客戶端設備,包含其 IP 位址、主機名稱與 MAC 位址。管理者能由此完全掌握內部網路的使用狀況,並可針對特定設備進行 IP 保留設定。
在網路的實體介面設定中,QHora-322 提供了非常直覺的圖形化介面,讓管理者能一眼判斷各個連接埠的狀態,並能即時監看上傳與下載流量。
WAN 埠的狀態摘要提供了所有網路管理者需要的關鍵資訊,包含實體埠速度、當前連線速率、連線模式 (PPPoE),以及取得的公開 IP 位址,讓網路障礙排除更加簡單迅速。延續實體介面設定,能夠詳細列出了所有 LAN 埠的設定。QHora-322 提供了多個 2.5GbE 與 10GbE 高速連接埠,可彈性連接各式需要高頻寬的裝置,如 NAS、影音工作站或核心交換器,並為每個 LAN 介面指派獨立的網段。
除了預設的服務埠,QHora 也支援 NAT 通訊埠轉發規則。更重要的是,它允許管理者設定「允許的遠端 IP」,這代表管理者可以指定僅有來自特定 IP 位址的流量才能存取內部服務,相較於對全網際網路開放,此功能可大幅強化安全性,有效縮小攻擊面。
更容易建構企業內網的小型 SD-WAN 路由器
和其他同類型產品相比,QNAP 的 QHora 系列路由器算是比較容易設定的,組企業內網也快,可說是企業應用在各分點與總公司進行安全連線的基礎設備,易於安裝使用。近年更免費升級 IPS 功能,可說是精準地切入了中小企業在資安投資上的重點。這項策略提升了產品的附加價值,也讓過去被視為企業級的主動式防禦概念,得以在更廣泛的市場中普及。
這類產品很適合的環境多半在多據點的公司與機構,還有連鎖零售通路業者、倉儲、物流、工廠分區產線等等。對於正在尋求建構或升級辦公室網路基礎架構,並希望兼顧高速傳輸與新世代資安防護的中小企業而言,內建 10GbE/2.5GbE 硬體規格、整合 QuWAN SD-WAN 平台,如今再加上免費授權 IPS 加持的 QHora 系列路由器,提供了一個極具競爭力的選擇。這類產品未來有機會持續擴充其資安功能,協助更多企業打造高速、安全且易於管理的現代化網路環境。
