[重要安全性通知] 发现假冒 Qfinder Pro 网站。了解详情 >
Search
HBS 全隔离备份方案
免费备份风险评估

全隔离备份:HBS × Airgap+
数据零暴露

在 HBS 启用 Airgap+,通过路由器或交换机实现物理断网,使备份 NAS 全程与来源端网络隔离;搭配 QuTS hero 的ZFS WORM 不可变备份,已写入的数据在保留期内无法被修改或删除。
两项技术协同运作——攻击者无法接触,也无法更改你的备份。

只需 QNAP NAS + QHora 路由器或 QSW 交换机,在 HBS 启用 Airgap+ 即可实现。 查看建议配置 →

免费评估我的备份风险 了解 HBS 全隔离备份方案
威胁态势

你的备份,正是勒索软件的首要目标

现代勒索软件不仅加密你的文件——它会潜伏数周,确认已感染备份系统后才发动攻击。
你以为的备份,可能早已成为攻击者的囊中之物。

96% [1]
的勒索软件攻击
专门锁定备份系统
US $4.40M [2]
单一数据外泄事件
全球平均损失金额
仅 10% [3]
的受害企业
成功恢复超过 90% 数据
[1] Veeam, 2024 Ransomware Trends Report, 2024
[2] IBM / Ponemon Institute, Cost of a Data Breach Report 2025, Aug 2025
[3] Veeam, Veeam Report Finds Close to 70% of Organizations Still Under Cyber Attack, 2025
如果你的备份与生产环境共用同一条网络,那么攻击者只需一次入侵,就能同时破坏你的数据和备份
在 HBS 启用 Airgap+ 功能,从实体网络层切断这条路径——让攻击者始终无法找到备份存放位置
HBS 备份对比

同样是 HBS 备份,启用 Airgap+ 有哪些优势?

使用 HBS 进行备份时,若未启用 Airgap+,源端与备份端在传输期间直接连接——勒索软件可能会沿此路径攻击备份。
启用 Airgap+ 后,HBS 在中间加入桥接 NAS,两道门永远不会同时开启,备份端全程零暴露。

备份传输期间
一般备份(无 Airgap+ 隔离)
传输中:直接连接
來源 NAS 来源
NAS
正常运行
直通连接
備份 NAS 备份
NAS
可能被来源端威胁波及
风险:备份期间若未启用 Airgap+,源端与备份端形成完整的网络通路。潜伏在源 NAS 中的勒索软件或恶意程序,可能沿同一连线直接影响备份 NAS,加密或删除备份数据。
备份传输期间
HBS 备份(启用 Airgap+)
HBS + Airgap+ 传输中:气隙隔离
來源 NAS
NAS
正常运行
A
▶ 开启
橋接 NAS 桥接
NAS
暂存中继
B
✕ 关闭
備份 NAS 备份
NAS
隔离
保护:在 HBS 启用 Airgap+ 后,Gate A 在传输数据时开启,Gate B 保持关闭。源端始终无法直接接触备份 NAS。即使源端已被入侵,攻击者也无法找到任何通往备份端的路径。
桥接 NAS 安全设计:桥接 NAS 仅执行 HBS 限定的同步与备份任务(从来源端同步数据,再备份至备份端),不对外开放任何网络服务、不接受主动连线请求。搭配 QuRouter 的mTLS 双向凭证验证,HBS 通过 mTLS 与 QuRouter 安全通信以管理连接端口连接状态(Gate 开关),确保控制平面不被未许可证存取。

在 HBS 启用 Airgap+ 功能,是在备份过程中也能保持物理隔离的方案。攻击者无论何时入侵,都找不到一条可以从来源端直达备份 NAS 的路径。

了解气闸舱原理
HBS Airgap+ 传输隔离机制

如同无尘室气闸舱,HBS 备份全程隔离

在 HBS 启用 Airgap+ 功能后,借鉴半导体无尘室的气闸舱设计,通过桥接 NAS配合路由器 / 交换机,在实体网络层实现真正的传输隔离。

【平时待机】网络盘关闭

HBS 备份任务尚未启动。桥接 NAS 上的工作未启动,来源 NAS 与备份 NAS 之间不存在连线,备份 NAS 对内网而言隐形。

Airlock Step

2 分钟了解 HBS Airgap+ 运行原理

QNAP Airgap+ 隔离备份方案介绍
观赏視頻

准备好在 HBS 启用 Airgap+ 了吗?

按照官方教程,逐步在 HBS 完成 Airgap+ 配置,10 分钟内即可上手。

查看 HBS Airgap+ 设置教程
HBS 不可变备份

HBS + ZFS WORM:一次写入,不可更改

隔离是较高道防线,但如果备份本身被污染怎么办?QuTS hero 在 ZFS 文件系统层级原生实现 WORM(Write Once, Read Many):数据写入后即被锁定,在设定的保留期限内任何人都无法修改或删除——包括系统管理员,即使攻击者取得较高管理权限。搭配 HBS 备份任务,备份完成后自动触发锁定。

QNAP NAS 配合 HBS 备份至 QuTS hero 含 WORM 文件夹的 NAS
模式 文件层级保护 数据文件夹层级保护(差异)
Enterprise 模式 在期限内不可修改、不可删除文件。 管理员可删除整个 WORM 共享数据文件夹(具备管理弹性)。
Compliance 模式 在期限内不可修改、不可删除文件。 任何人(包括管理员)均无法删除数据文件夹,提供优异别的数据保护。

可在 HBS 轻松设置不可变备份

1
创建共享数据文件夹
QuTS hero 存储管理员
2
启用 WORM 功能
设置为手动锁定模式
3
设置保留期限
输入锁定期限(天、月或年)
4
在 HBS 创建备份任务
创建新的备份作业
5
选择 WORM 数据文件夹作为目标端
指定已启用 WORM 的共享数据文件夹
6
设置版本管理
启用版本管理并设置保留天数
WORM Setup Step

开始在 HBS 设置不可变备份

按照官方教程,逐步在 HBS 完成不可变备份的设置与部署。

查看 HBS 不可变备份设置教程
推荐配置

HBS Airgap+ 全隔离备份

支持 HBS Airgap+ 的路由器 / 交换机机型

HBS Airgap+ 需搭配以下特定 QNAP 路由器或交换机机型才能运行,不支持其他品牌设备或 QNAP 其他系列。

安装类别 产品系列 较高网络速率 建议型号
智能交换机 QSW 7000 系列 100GbE QSW-M7308R-4X
智能交换机 QSW 3000 系列 10GbE QSW-M3224-24T / QSW-M3212R-8S4T / QSW-M3216R-8S8T / QSW-IM3216-8S8T
QHora 路由器 QHora 系列 10GbE QHora-322
QHora 路由器 QHora 系列 2.5GbE QHora-321
交换机要求: QSS Pro v4.3.0+ 路由器要求: QuRouter v2.4.2+ NAS 系统: QuTS hero 备份软件: HBS v26.3.0121+

建议部署方案

根据企业规模选择合适的硬件组合。在 HBS 启用 Airgap+ 功能后,搭配 QuTS hero 的 ZFS WORM 不可变备份,即可实现全隔离 + 不可变的高强度备份防护。

方案 A
小型办公室 / 入门方案
适合 10 人以下工作团队,低预算快速部署
来源 NAS 已有 QNAP NAS
桥接 NAS TS-264
备份 NAS TS-855X QuTS hero
路由器 QHora-321
桥接设备仅作暂存中继,无需高规格;备份端采用 TS-855X 支持 QuTS hero + HBS Airgap+,8 盘位可提供充足的备份存储容量与 ZFS WORM 不可变备份保护。
推荐
方案 B
中型企业 / 标准方案
适合 10-50 人团队,兼顾效率与扩展弹性
来源 NAS 已有 QNAP NAS
桥接 NAS TS-264
备份 NAS TS-1655 QuTS hero
交换机 / 路由器
(选一) 		QSW-M3216R-8S8T QHora-322
TS-264 桥接设备提升缓存容量与传输效率;TS-1655 搭配 10GbE 交换机或 QHora-322 路由器(任选其一),在 HBS 启用 Airgap+ 即可满足中型企业的全隔离备份需求。
选购提示:备份端 NAS 必须安装QuTS hero才能启用 WORM 不可变备份。在 HBS 中启用 Airgap+ 功能即可实现全隔离备份。桥接 NAS 仅作为缓存中继站,可选择入门机型以降低整体建设成本。如需更大规模方案或机架式部署,欢迎联系销售团队

为什么企业应在 HBS 启用 Airgap+ 全隔离备份?

高速存取

搭配 QSW 交换机(10/25/100GbE),大幅提升 HBS 备份与还原的传输速度,将备份窗口与停机时间降至较低水平。

更快的数据还原

备份数据存放在本地 NAS,搭配高速网络,还原速度远快于云端备份方案,帮助企业在灾难发生后快速恢复运营。

不可变备份(Immutability)

备份端 NAS 安装 QuTS hero,启用 ZFS WORM 共享数据夹,HBS 备份写入后自动锁定——任何人都无法修改或删除,实现真正的不可变备份。

深入了解 ›

扩展性

QNAP 支持多种扩展存储容量的方式,包括可热插拔更换大容量硬盘、连接扩展设备或迁移至更多硬盘插槽的 NAS 上,为持续发展的企业提供顺应未来的存储方案。

无需手动操作

在 HBS 设置排程后,Airgap+ 可自动控制 Gate 开关、自动执行备份、自动断开连接,全程无需人工介入。

电源控制

您可远程对 NAS 装置开 / 关电源,提供了更佳的控制与便利性。

常见问题

如何在 HBS 中设置 Airgap+ 全隔离备份?
按照官方教程,在 HBS 中搭配 QHora 路由器或 QSW 交换机,逐步完成 Airgap+ 的排程设置与气隙门配置,约 10 分钟即可完成。 查看 HBS Airgap+ 设置教程 →
如何在 HBS 中设置 WORM 不可变备份作为备份目的地?
在备份 NAS(QuTS hero)上建立 WORM 共享数据夹,设置锁定模式与保留期限后,在 HBS 建立备份任务时选择该数据夹作为目的地即可。WORM 属性需在数据夹建立时启用,无法事后追加。 查看 WORM 设置教程 →
什么是双向 TLS (mTLS)?其凭证在 QuRouter 的用途是什么?
mTLS(Mutual TLS)要求连接双方都出示凭证进行身份验证。在 Airgap+ 的架构中,HBS(Hybrid Backup Sync)通过 mTLS 与 QuRouter 进行安全通信,以管理连接端的连接状态(Gate 开关),同时确保经过身份验证的通信,防止未许可证访问控制平面。 查看完整教程 →
为什么 WORM 共享数据夹中的文件无法删除到资源回收站?
这是 WORM 保护的设计行为。在保留期限内,文件受到 ZFS 层级的锁定保护,任何删除或修改操作(包括移至资源回收站)都会被系统拒绝——这正是不变备份的核心价值。 查看详细帮助 →
WORM 保留期是如何计算的?
在 QuTS hero 中,WORM 保留期从文件被锁定(commit)的时间点开始计算,而不是文件创建时间。保留期支持以天、月、年为单位设置,期满后文件才可被删除或修改。 查看详细帮助 →

准备好在 HBS 启用 Airgap+ 全隔离备份了吗?

立即联系解决方案专家,为您的企业量身规划 HBS Airgap+ 全隔离备份方案,从设备选购到功能启用,一站式服务。

预约 30 分钟架构咨询

选择规格

      显示更多 隐藏更多
      open menu
      back to top