HiNet Internet VPN服務簡介

隨著各種企業內部資訊應用的快速發展,與雲端服務的盛行,企業對於高速頻寬的需求日益增加,同時為滿足需要同時上網和連接企業內部網路,越來越多的客戶考慮透過Internet建立VPN連線,或是擔任MPLS IP-VPN的支援/備援線路。

為滿足企業客戶的VPN與上網需求,中華電信推出「HiNet Internet VPN」服務,透過HiNet寬頻上網服務,並搭配VPN設備代裝代維及代管服務,提供客戶高速、穩定的CPE-based IPSec VPN連網與Internet上網服務,降低企業客戶自建VPN維運難度,與設備資本資出,並配合企業客戶的公司規模不斷成長,彈性擴充VPN網路架構。

關於企業客戶自建VPN的難處

企業客戶使用網路設備並透過Internet網路,建立VPN的模式稱為「CPE-based VPN」,與租用電信業者提供的「Network-based VPN」(例如MPLS IP-VPN)有所區隔。

目前企業所使用的CPE-based VPN中,以IPsec Site-to Site VPN為主流,主要用於總公司跟分公司(或各門市、各駐外據點)之間建立VPN連線。由於各據點都需要連回總公司建立IPSec VPN Tunnel,導致總公司所使用的VPN設備必須足以負荷全公司的VPN連線需求,同時上網頻寬也必須提升,避免VPN連線速度的瓶頸卡在總公司的VPN設備,或總公司的連網頻寬。

因此當企業客戶自建VPN時,除了需耗費資本支出購齊全公司所需使用的VPN設備之外,最讓企業老闆傷腦筋的是總公司的VPN設備投資。一方面總公司需要購買較大台的VPN設備,費用會提高,另一方面,隨著分公司或各據點的數量不斷增加,或是提升頻寬,可能會讓總公司的VPN設備無法負荷,但購買更高階的VPN設備會增加財政負擔;如果不添購新設備,又會影響公司業務發展,因此是否能有更具彈性的CPE-based VPN部署方式,減輕企業客戶負擔,同時又能配合公司發展即時擴充VPN網路架構呢?

此外,當企業自建VPN的規格不斷擴充時,VPN網路的維運及管理也成為IT部門的沉重負擔。當各據點開始反應VPN連線發生障礙時,究竟是VPN設備故障?還是寬頻電路異常?如果各據點還有自建AP(無線網路基地台),都會讓IT部門在查測過程中疲於奔命。是否能有單一障礙受理窗口,負責VPN障礙查測與報修服務呢?

為客戶的需求而誕生--「HiNet Internet VPN」服務

為解決傳統IPSec VPN客戶需自備大型VPN設備所衍生的投資與後續擴充問題,中華電信於HiNet網路端建置電信等級VPN設備(雲端閘道器),並搭配各型VPN設備代裝代維及代管服務,由中華電信提供CPE-based VPN的整體解決方案。

中華電信推出的「HiNet Internet VPN」服務,讓企業客戶的各據點,均透過Fortinet公司或SOPHOS公司的各型號VPN防火牆,與HiNet雲端閘道器建立IPSec Site-to-Site VPN。由於客戶的各據點不再直接跟總公司建立VPN連線,原本客戶總公司需負荷全部的VPN運算能力,均改由HiNet網路端集中處理。

客戶參加「HiNet Internet VPN」服務,從總公司至各據點所使用之VPN設備,均由中華電信提供代裝代維與代管服務,協助客戶快速部署VPN網路,同時透過「HiNet企業網管中心 (eNOC)」,提供客戶寬頻電路、各點VPN設備連線狀態等資訊。

客戶如需強化資安防護,或需要L7應用程式過濾等進階QoS功能,可額外申請Fortinet UTM功能授權(提供IPS、Anti-Virus、Web Filtering與Application Control),或直接選擇SOPHOS各型號UTM(均已內建UTM功能授權,包含IPS、Anti-Virus、Web Filtering與Application Control)。

「HiNet Internet VPN」運作模式

HiNet Internet VPN服務採用「Hub-and-Spoke」(樞紐輻射式)架構,以位於HiNet網路端的電信級VPN收容設備(雲端閘道器)為樞紐,企業客戶的總公司及各分據點均直接跟網路端VPN設備建立IPSec Site to Site VPN通道,總公司與各分據點之間的VPN連線並不直接互連,但可透過網路端VPN設備再連至總公司或其他各據點。此架構可大幅減輕總公司VPN設備的負擔,且可伴隨企業規模成長,不斷擴充VPN網路的連線據點數量。

HiNet Internet VPN服務為善加運用每條電路的頻寬,總公司與各分據點的上網流量,均採「Local Breakout」方式,直接於當地連上網際網路,不需要再連回網路端VPN設備或總公司才能上網。因此當企業客戶採用HiNet Internet VPN,除了穩定的Internet上網服務,同時可安心存取Intranet企業內部資源,也不用將全部上網流量集中回到總公司,可大幅減輕總公司防火牆與網路的負擔。

「HiNet Internet VPN」特點一:多樣化的VPN設備選項

HiNet Internet VPN不僅提供HiNet雲端閘道器服務,同時提供VPN設備租用服務,由中華電信提供代裝、代維及代管服務。目前提供數款VPN設備供客戶租用,均可於租用期內,配合客戶公司發展需求,更換租用機種,不再像以往「租轉售」模式,客戶於硬體設備簽約年限內,無法配合頻寬需求更換更高效能設備,必須滿約後才能重新簽約取得新設備。

HiNet Internet VPN提供的VPN設備廠牌型號如下:

  • Fortinet FortiGate-60E
  • Fortinet FortiGate-60F
  • Fortinet FortiGate-100F
  • SOPHOS XG86w
  • SOPHOS XG115w
  • SOPHOS XG135w
  • SOPHOS XG210

各款VPN設備規格比較

廠牌 Fortinet
型號 FG-60E FG-60F FG-100F
處理器
  • ASIC version: SOC3
  • CPU: ARMv7
  • Number of CPUs: 4
  • Network Card chipset: FortiASIC NP6LITE Adapter
  • ASIC version: SOC4
  • CPU: ARMv8
  • Number of CPUs: 8
  • Network Card chipset: FortiASIC NP6XLITE Adapter
  • ASIC version: SOC4
  • CPU: ARMv8
  • Number of CPUs: 8
  • Network Card chipset: FortiASIC NP6XLITE Adapter
記憶體 1867 MB 1819 MB 3616 MB
防火牆效能 3Gbps 10Gbps 20Gbps
IPS入侵防護效能

(須加購UTM功能授權)

400Mbps 1.4Gbps 2.6Gbps
NGFW效能

(須加購UTM功能授權)

250Mbps 1Gbps 1.6Gbps
IPSec VPN效能 2Gbps 6.5Gbps 11.5Gbps
同時最大連線數 1,300,000 700,000 1,500,000
每秒新增連線數 30,000 35,000 56,000
內建Wi-Fi
內建儲存媒體
 

FG-60E前視圖與後視圖

FG-60F前視圖與後視圖

FG-100F前視圖與後視圖

 
廠牌 SOPHOS
型號 XG86w XG115w XG135w XG210
處理器 Intel Intel Atom x5-E3930
(雙核心)
Intel Atom x5-E3940
(四核心)
Intel Atom C3558
(四核心)
Intel Celeron G3900
(雙核心)
記憶體 4GB 4GB 6GB 8GB
防火牆效能 3Gbps 4Gbps 8Gbps 16Gbps
IPS入侵防護效能 580Mbps 1.22Gbps 2.48Gbps 4.2Gbps
NGFW效能 310Mbps 1Gbps 1.2Gbps 3.5Gbps
IPSec VPN效能 225Mbps 490Mbps 1.18Gbps 1.7Gbps
同時最大連線數 3,200,000 6,000,000 6,000,000 8,200,000
每秒新增連線數 15,000 35,000 85,000 140,000
內建Wi-Fi 802.11a/b/g/n/ac
2x2:2 MIMO
802.11a/b/g/n/ac
2x2:2 MIMO
802.11a/b/g/n/ac
3x3:3 MIMO
內建儲存媒體 8GB eMMC 64GB SSD 64GB SSD 120GB SSD
 

XG86w前視圖與後視圖

XG115w前視圖與後視圖

XG135w前視圖與後視圖

XG210前視圖與後視圖

 
「HiNet Internet VPN」特點二:可彈性搭配Wi-Fi租用服務

HiNet Internet VPN的客戶無論於總公司或各分據點,如需布建企業Wi-Fi上網服務,均可隨時申辦HiNet次世代企業無線網路(NG-WLAN)服務。客戶不再需要自購AP或無線網路控制器,可根據企業規模、據點數量彈性申辦所需AP與PoE Switch。

HiNet次世代企業無線網路(NG-WLAN)服務於HiNet網路端建置大型的無線網路控制器(採用RUCKUS公司的Wireless Controller),同時搭配RUCKUS公司的室內ThinAP租賃服務,協助企業客戶快速部署無線網路環境。

企業客戶可透過HiNet網路端的無線網路控制器,可統一管理、監控各地ThinAP狀態,同時以群組方式設定 AP,加速大規模部署。並可進行多層次權限管理,例如總公司資訊部具有最高權限,同時授權各據點當地管理員,負責開立WLAN帳號等功能。

HiNet網路端無線網路控制器支援各種認證協定,包括802.1X、ActiveDirectory、RADIUS、LDAP,或是客戶自建的會員資料庫等。

HiNet NG-WLAN服務所提供的ThinAP係由專業SI負責現場勘查、安裝及維運服務,除可搭配光世代固定制上網服務,也可選擇配發固定IP的4G上網服務。

客戶可根據現場環境,選擇兩款室內型ThinAP,廠牌型號如下:

RUCKUS ZoneFlex R610

  • 802.11ac Wave 2 (with MU-MIMO) 3X3:3 Smart Wi-Fi Access Point
  • 並行雙頻支援1,300 Mbps (5 GHz), 450 Mbps (2.4 GHz)
  • 80 MHz channelization
  • 256-QAM modulation
  • 適應性天線技術及進階無線射頻管理
  • 包含512多種獨特模式的整合式智慧型天線展現絕佳可靠性
  • 兩組 10/100/1000 乙太網路連接埠,其中一組提供 802.3af/at 乙太網路供電 (PoE)
  • 進階QoS封包分類,針對不容延遲的流量排定自動優先順序
  • BeamFlex+ (PD-MRC) 智慧型天線可針對每個Access Point支援多達1024種獨特天線模式,可實現 4dB 的額外訊號增益,以及10dB 的額外干擾消除效能熱點無線區域網路的個別使用者動態速率限制
  • 最多可提供500台設備連線
 

RUCKUS ZoneFlex R320

  • 採用 802.11ac 2X2:2 Smart Wi-Fi Access Point
  • 並行雙頻支援867 Mbps (5 GHz), 300 Mbps (2.4 GHz)
  • 80 MHz channelization
  • 適應性天線技術及進階無線射頻管理
  • 1 個自動 MDX、自動偵測 10/100/1000 Mbps
  • 支援標準 802.3af 乙太網路供電或12V DC
  • 進階 QoS 封包分類,針對不容延遲的流量排定自動優先順序
  • 熱點無線區域網路的個別使用者動態速率限制
  • 專利 BeamFlex™ 技術擴展訊號範圍,提升用戶端功能
  • 小巧輕盈的外型與方便部署設計
  • 最多可提供256台設備連線
 
「HiNet Internet VPN」特點三:可提供SSL VPN服務

客戶如於總公司部署Internet VPN設備,可啟動SSL VPN功能,以利員工從家裡或外地連回總公司

廠牌 Fortinet SOPHOS
型號 FG-60E FG-60F FG-100F XG-86w XG-115w XG-135w XG-210
SSL VPN連線數 200 200 500 100 240 270 300
 
已採用IPSec VPN客戶,規劃換裝新式VPN並提升頻寬
  • 客戶的需求:
    • 客戶過去租用HiNet資安艦隊系列方案的UTM,並透過UTM建IPSec VPN。由於UTM功能授權已到期,客戶希望配合提升上網速度,更換新一代的UTM,並且希望UTM授權無到期限制。
    • 客戶的總公司目前部署Fortinet FG-200D UTM
    • 客戶的分公司目前部署FG-80C或FG-92D UTM
    • 由於規劃開啟SSL VPN功能,故客戶總公司能需要部署較高效能UTM
  • 中華電信的規劃:
    • 為滿足客戶新一代網路速度及VPN設備需求,並考量客戶將開啟UTM功能(包含入侵防護、網站過濾、木馬後門過濾、應用程式控管等),同時參考Fortinet UTM的「Threat Protection效能」數值後,規劃總公司採用最新一代的Fortinet FG-100F;分公司則使用最新一代的Fortinet FG-60F。
    • 本案提供的兩款UTM均內含「UTM Bundle功能(IPS/App Control/ Web Filtering/Advanced Malware Protection)」授權
    • 總公司及各分公司均與HiNet雲端閘道器建立IPSec Site-to-Site VPN
    • 由HiNet根據客戶需求規劃網路架構,並產製Firewall Policy Config file
    • 所有Internet Service設備均由中華電信子公司宏華ICT團隊負責安裝及維運
    • 提供HiNet Internet VPN服務單一障礙受理窗口
FG-60F所有效能均勝過前代機種以及資安艦隊現役機種
廠牌 Fortinet
型號 FG-80C FG-92D FG-80E/81E FG-60F
防火牆效能 1.9Gbps 2Gbps 4Gbps 10Gbps
IPS入侵防護效能 350Mbps 950Mbps 450Mbps 1.4Gbps
NGFW效能 N/A 200Mbps 360Mbps 1Gbps
Threat Protection效能 N/A 200Mbps 250Mbps 700Mbps
IPSec VPN效能 140Mbps 130Mbps 2.5Gbps 6.5Gbps
SSL VPN效能 70Mbp 170Mbps 200Mbps 900Mbps
 
1.FG-100F所有效能除了勝過前代FG-200D,效能也遠勝資安艦隊現役的FG-100E,並且逼近FG-200E
2.FG-100F已內建10G介面(需另購miniGBIC),方便連接10G介面的Switch
3.FG-100F已內建雙電源供應器(Redundant Power)
廠牌 Fortinet
型號 FG-200D FG-100E FG-100F FG-200E
防火牆效能 3Gbps 7.4Gbps 20Gbps 20Gbps
IPS入侵防護效能 1.7Gbps 2.2Gbps 2.6Gbps 2.2Gbps
NGFW效能 330Mbps 500Mbps 1.6Gbps 1.8Gbps
Threat Protection效能 310Mbps 250Mbps 1Gbps 1.2Gbps
IPSec VPN效能 1.3Gbps 4Gbps 11.5Gbps 7.2Gbps
SSL VPN效能 400Mbps 250Mbps 750Mbps 900Mbps
內建10G SFP+接頭 有(兩個)
內建雙電源供應器
  • 對客戶的幫助:
    • 新一代高C/P比的UTM效能大幅提升,可搭配高速光世代上網服務
    • 所有UTM設備於租用期間內,不用擔心UTM功能授權到期
    • 總公司的UTM無須處理各分公司IPSec連線,有效降低運算負擔,並可開啟SSL VPN功能,方便同仁遠距辦公
    • 簡化網路、線路、設備障礙受理窗口
 
已租用MPLS VPN,規劃導入IPSec VPN進行頻寬分流
  • 客戶的需求:
    • 客戶有許多門市遍布全國,目前申請友商的MPLS IP-VPN,因門市導入新一代POS,且有Wi-Fi上網需求,擬申請高速Internet線路,並透過VPN設備建立IPSec VPN網路。既有的IP-VPN降速供刷卡機使用。
  • 中華電信的規劃:
    • 配合客戶頻寬需求及預算考量,各門市部署Fortinet FG-60E UTM乙台,內含UTM Bundle授權(IPS/App Control/ Web Filtering/Advanced Malware Protection)。總公司則部署FG-60F。
    • 各地門市租用RUCKUS R320 ThinAP供員工Wi-Fi上網,客戶可自行透過HiNet Wireless Controller進行控管
    • 總公司及各門市均與HiNet雲端閘道器建立IPSec Site-to-Site VPN
    • 由HiNet根據客戶需求規劃網路架構,並產製Firewall Policy Config file
    • 所有UTM、AP均由宏華ICT團隊負責安裝(包含AP的布線)及維運
    • 提供HiNet Internet VPN服務單一障礙受理窗口
總公司因員工數較多,故規劃使用FG-60F
考量門市數量眾多,且由當地直接下車上網,基於預算考量,先租用FG-60E
Fortinet FortiGate型號 FG-60E FG-60F
防火牆效能 3Gbps 10Gbps
IPS入侵防護效能 400Mbps 1.4Gbps
NGFW效能 250Mbps 1Gbps
Threat Protection效能 200Mbps 700Mbps
IPSec VPN效能 2Gbps 6.5Gbps
SSL VPN效能 150Mbps 900Mbps
內建儲存媒體
  • 對客戶的幫助:
    • 大幅提高上網速度,方便導入新式POS服務及Wi-Fi上網服務
    • 可透過HiNet Wireless Controller網路平台,隨時掌握Wi-Fi AP狀態
    • 所有UTM設備於租用期間內,不用擔心UTM功能授權到期
    • Internet VPN方案租用期間內,可更換更高效能機種,包含防火牆或AP
    • 簡化網路、線路、設備障礙受理窗口
 
  • HiNet Internet VPN服務由三項元素所組合:
    • HiNet光世代固定制上網服務
    • HiNet雲端閘道器服務(選購,客戶可另於總公司部署大台VPN設備收容各據點之IPSec VPN連線)
    • VPN防火牆、AP、Switch等設備租賃服務(含代裝、代維及代管,退租本方案時,需歸還中華電信)
    • 根據客戶需求提供專案規劃與報價
  • 客戶如果全國至少有10個以上據點之需求,歡迎與中華電信服務貴公司的業務經理聯繫,中華電信將協助提供專案規畫及報價。
  • VPN設備安裝及維護服務說明:
    • 凡申裝HiNet Internet VPN服務,均由中華電信提供客戶端VPN設備,機種如下:
      • SOPHOS:XG86w / XG115w / XG135w / XG210
      • Fortinet: FG-60E / FG-60F / FG-100F
    • 待電路竣工後,兩週內由宏華國際提供VPN設備安裝服務,內容與維運服務,設備限於申請書之光世代電路申裝地址使用
    • 倘因設備發生故障導致線路中斷、或服務中斷,中華電信提供5x8故障叫修服務
    • 服務專線為:02-2344-2307
    • 中華電信接獲客戶維修通知後,於4個工作小時內回應
    • 約定維修日後,於8個工作小時內完成維修。(安裝於台灣本島)
    • 設備維護時間:週一至週五,上午9:00 至下午5:00,不含國定例假日及彈性放假日
    • 維修期間提供同等級或以上的替代品
    • HiNet Internet VPN提供之設備代裝代維服務,可付費提升為7x24x8
  • HiNet Internet VPN服務採專案報價模式,客戶如果全國至少有10個以上據點之需求,歡迎與中華電信服務貴公司的業務經理聯繫,中華電信將協助提供專案規畫、報價與申請書
  • 租用HiNet Internet VPN方案期間,HiNet上網費均以專案價計收,不再併計年資折扣
  • 中華電信會先寄發繳費通知單給客戶,待客戶繳費後開立無實體電子發票給客戶
  • 繳費通知單及發票項目名稱為:HiNet企業專案服務費
  • HiNet Internet VPN提供之硬體設備為中華電信財產,退租本方案時,需歸還中華電信
  • Q1HiNet Internet VPN所提供的VPN等設備,租約期滿後,歸客戶所有嗎?
    並不是,HiNet Internet VPN所提供的VPN等設備屬中華電信財產,雖然每個專 案跟客戶簽訂的租期不一定,但客戶期滿後退租,或租用期間更換更高階設備時,原先的設備回由中華電信回收。
    客戶如希望UTM設備採「租轉售」模式,即租約期滿後設備歸客戶所有,請改參加HiNet資安艦隊系列方案。
  • Q2HiNet Internet VPN所提供的VPN等設備,是否有包含UTM功能授權?如果有,是否每三年需續約一次?

    HiNet Internet VPN所提供的VPN設備有三種組態:
    1. Fortinet FortiGate防火牆(不含UTM功能授權,僅提供防火牆與VPN功能)
    2. Fortinet FortiGate UTM(含UTM Bundle功能授權,提供IPS/App Control/ Web Filtering/Advanced Malware Protection)
    3. SOPHOS XG Firewall UTM(含EnterpriseGuard功能授權,提供IPS/App Control/ Web Filtering/ Advanced Threat Protection)

    因此規劃FortiGate設備時,可選擇空機(不含UTM授權)或是已內含UTM功能授權的機種。如果選擇SOPHOS設備,則一律內含UTM功能。

    如果選擇內含UTM功能授權的機種,在HiNet Internet VPN租用期間內,均不用擔心UTM功能授權過期,除非該設備因停產後數年,被原廠宣布終止提供UTM功能服務。屆時中華電信將協助客戶規劃換裝新一代UTM。

  • Q3HiNet Internet VPN與HiNet資安艦隊系列的UTM在防護功能上是否不同?

    HiNet資安艦隊系列的UTM提供更全面的功能授權,HiNet Internet VPN則取消架站、郵件或雲端沙箱等,與VPN上網較無關的UTM防護。

    Fortinet FortiGate UTM

    防護功能 HiNet資安艦隊系列 HiNet Internet VPN
    FortiGuard App Control Service
    FortiGuard IPS Service
    FortiGuard Advanced Malware Protection (AMP) — Antivirus, Mobile Malware, Botnet, CDR, Virus Outbreak Protection and FortiSandbox Cloud Service
    FortiGuard Web Filtering Service
    FortiGuard Antispam Service
    FortiGuard Security Rating Service
    FortiGuard Industrial Service
    FortiCASB SaaS-only Service

     

    SOPHOS XG Firewall UTM

    防護功能 防護內容 HiNet資安艦隊系列 HiNet Internet VPN
    網路防護
    • 入侵防護
    • 進階威脅防護(ATP)
    • Security Heartbeat
    • HTML5 VPN
    網頁防護
    • URL類別防護
    • URL內容過濾
    • 網頁病毒防護
    • 應用程式管控
    沙箱防護
    • SOPHOS Sandstorm(新世代雲端沙箱服務)
    郵件防護
    • 垃圾郵件過濾
    • 病毒信件過濾
    • 資料外洩防護
    • 郵件加密
    網頁伺服器防護
    • 反向代理(Reverse Proxy)
    • 網頁應用防火牆(WAF)
    • 伺服器負載平衡
  • Q4HiNet Internet VPN是否能讓各分據點不要當地下車,改從總公司集中上網?
    可以的,客戶的總公司與各分據點,同樣跟HiNet雲端閘道器建IPSec VPN,但各分據點的上網流量會強制導向客戶的總公司。在此架構下,會建議客戶的客戶總公司租用效能較高的UTM。
  • Q5HiNet Internet VPN是否支援SD-WAN功能?
    HiNet Internet VPN所提供的UTM機種雖然都是SD-WAN Ready,但由於HiNet雲端閘道器並不支援SD-WAN功能。如果客戶強烈要求啟用SD-WAN功能,此時HiNet Internet VPN服務將不採「Hub-and-Spoke」(樞紐輻射式)架構,也就是不再跟HiNet雲端閘道器建IPSec VPN,而恢復成客戶的各外據點,直接透過UTM跟總公司建IPSec VPN,同時啟動SD-WAN功能。