防火牆常見問題 - Zyxel Community

【 2025年五月焦點】更聰明、更快速：SecuPilot 全新功能搶先看！
如果您曾經使用 Zyxel SecuReporter，應該已經認識我們的 AI 助手-SecuPilot，能讓 SecuReporter 更聰明、更容易協助中小企業與託管服務供應商（MSP）管理網路安全。 👉 快速回顧一下： SecuPilot 讓您能以自然語言詢問資安問題、自動產生智慧摘要、建立視覺化報告，並協助您快速了解網路狀況，無需成為資安專家。如果還沒體驗過，它已經在 SecuReporter 上線，快去試試看吧！ 🚀 SecuPilot 最新強化功能有哪些？我們持續努力讓 SecuPilot 更強大。現在，您的網路安全管理將變得更聰明、更快速、更直覺。新功能重點如下: 🌎 多語言摘要與標題支援與跨國團隊合作嗎？沒問題。…
USG FLEX/ATP 系列應用程式巡查特徵碼問題的恢復步驟（2025 年 1 月）
異常症狀 App Patrol 簽名版本 V1.0.0.20250123.0 可能會在單機落地模式下，在設備上解析錯誤，更新此新特徵碼後，應用程式巡查守護程式將無法正常工作，儘管其餘 UTM 功能仍在運行。但是，最壞的情況是，如果設備進一步重啟，無論是手動重啟還是按計劃重啟，設備可能會卡住。如果設備出現以下症狀，則設備可能受到影響。設備錯誤：CLI 命令錯誤、設備超時或設備註銷。無法通過 Web GUI 登錄到 ATP/USG FLEX：504 閘道超時。 CPU 使用率高。在 Monitor > Log 中，出現 ZySH daemon is busy（ZySH 守護程式繁忙）消息。無法在控制臺上輸入任何命令。 Coredump…
USG Flex/ATP系列機型如何透過CLI查看Web-GUI存取連接埠號碼
為了資訊安全考量強烈建議您變更防火牆的 Web-GUI HTTPS存取連接埠號碼以提高安全性，如何更改可以參考防火牆開啟外網連接網頁管理介面。如果忘記 Web-GUI 連接埠號碼，使用者可以透過CLI(SSH/CONSOLE)查看。例如，使用者透過以下方式將HTTPS連接埠號碼改成8443來存取防火牆如果忘記了上述HTTPS連接埠號碼可以使用 CLI 指令「show ip http server secure status」來取回Web-GUI 存取連接埠號碼
Zyxel 提供緩解防火牆被 DDoS 攻擊的建議
近日有許多企業與個人戶面臨分散式拒絕服務攻擊 (DDoS)的網路威脅，包括 Microsoft 365、Intune、Power BI 和 Azure App Services 等 Microsoft 服務中斷 9 小時。這種攻擊方式通過大量的惡意流量，試圖癱瘓目標網路或服務，導致正常用戶無法訪問。然而，儘管DDoS攻擊的威脅不容忽視，透過採取適當的防禦措施，使用者依然可以有效減緩這類攻擊所帶來的風險。以下是識別和解決此類問題的關鍵跡象和解決方案。如果您在過去幾天中遇到了以下問題，那麼可能是遭受了 DDoS 攻擊： CPU / RAM使用率高防火牆無回應網路負載增加連接埠的流量有所增加 Zyxel…
近期”防火牆的VPN 連線斷線和 Web 管理界面異常“解決方法
注意：在更新Hotfix韌體之前，若您在現場的話請拔掉WAN網路線後，重新啟動設備進行韌體更新；若您不在現場無法拔除WAN網路線，至少更新韌體前先進行重新啟動，以減少韌體更新期間發生watchdog reboot造成韌體升級失敗，而造成設備需要RMA的風險我們已收到通知，目前有幾個與防火牆的VPN 連線斷線和 Web 管理界面異常的問題。針對此問題，我們立即為所有型號開發緊急Hotfix 韌體。建議您立即安裝修補的更新韌體，以獲得最佳保護。詳細解決方案請見下方常見問題，為您解決異常！對於這一事件向您帶來的不便，Zyxel Networks 團隊深感抱歉。目前最新版本5.36 Patch 2 及 4.73 Patch 2已經釋出…
如何強化防火牆管理？
當今網絡安全形勢越來越複雜，防火牆像是一道堅實的城牆，保護您的網絡免於惡意攻擊。然而，只有擁有防火牆並不足以保護您的網絡免於攻擊，如何強化防火牆管理，成為了當務之急，以確保您的網絡安全。在這篇文章中，我們分享一些方法和技巧，透過安全性策略的嚴謹設定，讓您的防火牆管理更加高效、安全！如果沒有IPSec VPN及遠端管理的需求，請在安全性策略-策略控制將WAN_to_Device 此條規則直接停用。如果有IPSec VPN及遠端管理的需求，請在安全性策略-策略控制將WAN_to_Device 此條規則務必指定”來源IP”。…
防火牆常見問題導覽
以下為防火牆常見問題教學文章的超連結導覽，提供各位以便於快速找到所需的資料 : 建議使用 ctrl+f 輸入關鍵字，快速找到您需要的資料。障礙排除相關功能客戶反應網路不通，但是到底哪裡不通？防火牆忘記密碼該怎麼辦? NAT 障礙排除教學防火牆登入IP封鎖解除/使用者封鎖設定您的內容過濾服務可能失效的原因是什麼？ —————————————————————————————————————————————————————————— 設定相關功能無線網路相關設定 ATP/USG FLEX 無線控制器 AP 韌體更新教學 Zyxel 防火牆發揮 WiFi 7 的無限潛力 WiFi環境的全方位改進：掌握無線健康度的最佳實踐…
什麼是勒索病毒？以及 Zyxel 如何幫助您抵禦它？
* 勒索病毒是一種惡意程式（惡意軟體），可阻止或限制用戶訪問其系統。 * 加密勒索軟體/檔案是勒索病毒達到攻擊的主要典型方式。 * 這類型的惡意程式迫使其受害者透過某些線上支付方式支付贖金，才開放訪問系統/數據的權限。 * 在某些情況下，受感染的狀況有可能是嵌在電子郵件中的URL，或是在受感染的網站下載技術程式而發生。財務成本包括支付贖金和修復網路設備的成本。如果企業網路被中斷的很嚴重，此攻擊行為可能會導致營收損失和潛在的品牌傷害。由於攻擊造成資訊外洩的行為有可能導致第三方索賠的潛在成本。…
如何加強防火牆資訊安全，預防資安事件的威脅
* 定期變更具有管理員權限帳號 (admin-type) 的密碼我們強烈建議您定期變更所有具有管理員權限帳號的密碼，達到更好的保護。重複輸入兩次新的密碼，點選ok即可完成變更。 * 若您需要透過網際網路或SSL VPN 通道連接防火牆網頁進行設備管理，建議依照以下步驟保護您的設備。 1. 新增信任的外部 IP 位址，或是受信任的國家位址，並於接下來設定的防火牆規則套用此限制 Configuration > Object > Address/GeoIP 2. 新增設備的管理頁面或SSL VPN 服務 Port 的物件（物件 --> 服務），並於接下來設定的防火牆規則套用此限制 (此範例將對管理頁面所使用的 Port 號由預設的 443…
🔐Zyxel AP 支援 Microsoft Entra ID 登入（韌體 7.10）
隨著 7.10 韌體更新，Zyxel AP 現已支援 Microsoft Entra ID 作為 WiFi 認證方式。這讓企業能將現有的 Microsoft Entra ID（前稱 Azure Active Directory）無縫整合進 Zyxel Nebula Control Center (NCC)，實現安全、集中式認證。 1. Microsoft Entra ID 認證流程當用戶連接到啟用 Microsoft Entra ID 認證的 SSID 時，流程如下：用戶連接 WiFi SSID：AP 會將用戶導向Zyxel Nebula 控制中心代理。 Zyxel Nebula Control Center 代理將請求轉發至…
如何使用 IKEv2 實作 Windows 原生 VPN 的分割隧道？
問題：如何使用 IKEv2 實作 Windows 原生 VPN 的分割隧道？答：在目前設計中，Windows 原生 VPN 介面無法將 Internet 流量與 VPN 隧道分開。實現它的唯一方法是在您的 PC 上建立額外的路由。從您的 VPN 介面停用 PC 預設閘道。 1.前往控制台 > 網路和共用中心 > 變更適配器設置，然後開啟屬性。 2. 前往網路 > Internet 協定版本 4 (TCP/IPv4) > 高級，然後停用選項「在遠端網路上使用預設閘道」 3. 為您的 VPN 流量建立附加路由。 4.C:\Windows\system32>route.Add 192.168.1.0 mask 255.255.255.0…
【 2025 年 4 月通知】uOS1.32 更新：USG FLEX H 系列的新功能
最新的 USG FLEX H 防火牆系列採用了新的 uOS，旨在最大限度地減少系統響應時間並提高整體系統效率，包括以下功能： Smart Sync，無縫管理透過我們先進的 SmartSync 技術，體驗雲端和設備之間革命性的同步。無縫存取整個生態系統的配置。我們的下一代平台為您提供即時、精細的設定，讓您擁有前所未有的控制權。透過即時更新和智慧偏好管理，保持完美的協調。立即解鎖無縫連接的未來。 DoH 和 DoT 封鎖和監控當防火牆偵測到傳輸到已知 DoH 伺服器的 DNS over HTTPS (DoH) 或 DNS over TLS (DoT) 查詢時，USG FLEX H 系列會封鎖它們以強制執行網際網路限制，確保網路過濾、DNS…
【 2025年四月焦點】透過 USG FLEX H 更聰明地同步！
嗨~ 網路管理員們，您們的網路救星已降臨！管理混合網路（部分雲端，部分本地部署）可能讓您感覺像一場災難。前一分鐘你還在調整雲端設定，下一分鐘你就得趕緊更新本地部署設定，同時祈禱一切安好。聽起來很熟悉嗎？Zyxel 推出 USG FLEX H 系列防火牆和出色的 Smart Sync，就是要改寫這個劇本。這不僅僅是另一個小工具，更是您的私人助手，隨時準備將您的網路管理煩惱變成小菜一碟。解決你的日常煩惱你有數不清的事情要做，而保持雲端和本地部署設定同步是你不需要的另一個麻煩。Smart Sync…
VPN Orchestrator
VPN Orchestrator 使您能夠在組織內的不同站點之間自動建立虛擬私人網路 (VPN) 連線。這使得每個站點的安全閘道和其後面的 Nebula 設備能夠安全地進行通訊。建立站點到站點 VPN 連線時，可以使用兩種拓撲：Site-to-Site 和 Hub-and-spoke。本文將以Site-to-Site 情境為例。拓撲目標： 192.168.168.0/24 能夠與 192.168.160.0/24 通訊。 192.168.160.0/24 能夠與 192.168.168.0/24 通訊。測試項目：前往「組織範圍 > 組織範圍管理 > VPN Orchestrator 」啟用兩個 VPN…
如何在 Nebula 站點對站點 VPN 上設定 VPN 區域和 VPN 拓撲
首先，您需要擁有 Nebula Professional Pack 才能實作此功能。Nebula VPN Orchestrator 提供軟體定義設計，以在組織內建構可擴展的 VPN 拓撲。我們可以在組織內建立多個 VPN 區域，每個區域都有自己的站點和 VPN 拓撲。使用者需要 Nebula Pro Pack 才能實作此功能。我們可以使用的拓撲有兩種：完全網狀和 Hub-and-Spoke。完全網狀：每個站點都有一個站點對站點 VPN 隧道連接到 VPN 區域中的每個站點，站點能夠直接與其他站點通訊。Hub-and-spoke：每個 spoke 站點都有一個站點對站點 VPN 隧道連接到 hub 站點。spoke 站點之間的流量必須通過…
【2025 三月焦點】USG LITE 60AX 獲媒體盛讚與大獎肯定🌟
Zyxel USG LITE 60AX 迅速崛起，贏得科技媒體的熱烈讚譽與業界權威大獎🏆。這款專為小型企業與遠端工作者設計的 WiFi 6 資安路由器，深受評測專家與專業人士的肯定。我們衷心感謝以下媒體與機構的高度認可與推薦🙌，他們的讚譽與獎項激勵我們持續推出創新的網路解決方案🚀。美國 MB Reviews: 「效能超乎預期」 High-Speed Internet: 「提升企業安全性的絕佳路由器」土耳其 CHIP: 「創新路由器，滿足企業所需的安全網路」羅馬尼亞 IT CHANNEL: 「不僅提供卓越效能，更具備強大安全性的最佳選擇」台灣 2025 台灣精品獎： Sakamoto…
掌控您的資安：在 Zyxel 防火牆啟用二階段認證
儘管已經重複說過好多次，但我們強烈建議用戶：啟用二階段認證 (2FA) 來保護管理者登入！這項重要建議來自最新的漏洞公告，提醒您及早採取主動措施以保護關鍵資產。以下為詳細解析，助您守護最重要的資源。 CVE-2024-11667：重點與解決方案發布日期：2024 年 11 月 Zyxel 已發現並處理了針對其防火牆產品的活躍攻擊嘗試。根據資安公司 Sekoia 的報告，Zyxel 系統中存在漏洞，Zyxel 迅速作出應對，減輕威脅影響。 📣 問題描述主要漏洞 CVE-2024-11667 為 Zyxel ZLD 防火牆韌體 (版本 5.00–5.38) 的 Web 管理介面中的目錄遍歷漏洞。利用此漏洞可能導致：透過URL…
Ports 群組綁定限制
Ports 群組綁定是個實用功能，可讓多個實體網路孔綁成一個交換器概念。不過在USG FLEX 500H 跟 USG FLEX 700H 因硬體設備特性會有無法綁成群組的部分，以下說明。 1)USG FLEX 500H 跟 USG FLEX 700H 的Port 1 跟 Port 2 無法跟其他Port 綁成群組 2)USG FLEX 700H 的Port 13 跟 Port 14 無法跟其他網路孔綁成群組. 以上敘述也可以從Release Note上看到.
USG FLEX H 系列 -- 來源 IP 偽造防護
在最新的 uOS 韌體版本中，Zyxel 增強了網路安全功能，推出了原本稱為 IP-MAC 綁定的來源 IP 偽造防護功能。這項功能現在提供了更廣泛的功能性與更高的靈活性，協助網路管理員防止未經授權的 IP 偽造進入其網路環境。什麼是來源 IP 偽造防護？來源 IP 偽造防護通過驗證客戶端的 IP 和 MAC 地址，確保只有授權的設備能夠存取網路。此功能依據預先定義的策略，檢查 IP 和 MAC 地址是否一致且受信任，並阻止任何不匹配或偽造的地址取得存取權。此功能的應用包括：增強安全性：限制網路存取僅限於已知的設備。阻止惡意行為：防止通過 IP 偽造模仿合法設備的行為。來源 IP 偽造防護的主要組成部分 1. IP 和 MAC…
如何使用IPv6 設定IPSec VPN(USG FLEX/ATP)
架構情境：此篇將示範如何透過兩台USG FLEＸ/ATP 防火牆類似總部與分點，並透過IPv6 建立IPSec VPN 連線。前置動作：先確認您目前操作的防火牆已啟用IPv6的設定，如沒有可以參考底下文章說明未來網路趨勢：在ZYXEL防火牆實現IPv6功能的詳細教學設定步驟：設定Site-to-Site VPN For HQ - Phase 1 路徑: 設定>VPN>IPSec VPN>VPN閘道器 2.設定Site-to-Site VPN For HQ - Phase 2 路徑: 設定>VPN>IPSec VPN>VPN 連線 3.設定Site-to-Site VPN For Branch - Phase 1路徑:…
簡述 USG FLEX H 設備開機流程
開機流程當 USG FLEX H 系列防火牆啟動時，會按照特定順序應用其設定檔案。這個流程有助於識別和排除在開機過程中可能出現的問題。控制台顯示的開機符號透過連接 Console 線，防火牆會使用一系列符號來指示設定應用的進度和狀態： •：開始應用啟動設定（startup-config.conf）。 @ ：開始應用上次良好設定（lastgood.conf）。 *：開始應用系統預設設定（system-default.conf）。 $：設定應用成功。 X：設定應用失敗。儀表板上的開機狀態防火牆的主儀表板提供當前設定狀態的視覺表示。您可以透過懸停在狀態指示器上，查看詳細的狀態描述：啟動成功：設定成功應用。…
USG FLEX H 之 IPSec VPN 偵錯日誌功能
IPSec VPN 是 Zyxel 安全設備的重要功能，提供不同站點之間的安全連接。然而，VPN 問題的排查可能因為一般事件日誌的資訊不足而變得困難。為了解決這個問題，uOS 現在包含了詳細的 IPSec VPN 偵錯日誌功能。主要功能 1. 即時追蹤日誌指令：cmd debug ipsec trace log 功能：提供即時的追蹤日誌，在控制台顯示正在執行的 VPN 流程。使用情境：適合立即排除問題，捕捉事件發生時的日誌。停止方法：使用 Ctrl + C 停止即時追蹤日誌。 2. 保存的偵錯日誌指令：開始記錄：cmd debug ipsec save log 停止記錄：cmd debug ipsec stop log…
[2024年12月技巧與秘訣] 一分鐘搞懂路由型VPN
什麼是路由型VPN？路由型VPN（Route-Based VPN）是一種使用路由和策略來指引和控制不同VPN端點之間流量的VPN架構類型。與僅依賴安全策略的策略型 VPN（Policy-Based VPN）不同，路由型VPN 使用路由表來確定每個數據包的最佳傳輸路徑。在這種架構中，每個 VPN 通道都有一個獨立的虛擬隧道介面（VTI）及其專屬的路由表。這樣的設計使得流量可以根據與其 VTI 相關的路由表進行傳輸，提供更高的靈活性與可擴展性。此外，路由型VPN 支援在相同的端點之間建立多條通道，有助於實現故障轉移和負載平衡。這種 VPN 尤其適用於多條 VPN 隧道連接不同地點且需要細緻且靈活路由策略的複雜網路環境。路由型VPN…
USG Flex H (密技) 什麼是 Fastpath 加速
Fastpath 加速技術旨在提升網路流量的處理效率。透過保留系統資源專門處理網路流量，特別是將 CPU3 和 CPU4 分配給客戶端流量， Fastpath 能夠加速資料封包的處理，降低延遲，並提升整體網路效能。在 Zyxel 的 USG FLEX H 系列防火牆中，結合新一代多核心硬體和 Fastpath 技術，可將性能提升多達三倍，滿足高需求和高速網路的需求。您可以透過執行「show cpu status」指令來檢查 Fastpath 的平均使用情況。
USG Flex H 安全服務的封包檢查流程說明
這篇文章要來介紹一下安全服務是怎麼檢查的。 IP 信譽檢查 (IP Reputation)：首先，系統會檢查封包的來源 IP 是否在已知的惡意 IP 清單中。若在清單中，該封包將被阻擋。安全性策略檢查 (Security Policy)：接著，系統會根據已設定的安全性策略，檢查傳輸層 (Transport Layer) 的連線是否被允許。若允許，則進一步處理。 SSL/TLS 解密：如果封包使用 SSL/TLS 加密，系統會對其進行解密，以便後續檢查。應用層檢查 (Application Layer Inspection)：在解密後，系統會對應用層的資料進行深入檢查，確保其符合安全性要求。…
USG Flex H 策略路由的自動停用與自動恢復
策略路由的自動停用與自動恢復此功能會在網路連結失效時，自動停用相關策略路由；一旦連結恢復，則會自動重新啟用。設定步驟：進入策略路由介面：登入防火牆的管理介面。前往「網路 > 路由 > 策略路由」。建立策略路由：點擊「新增」，設定新的策略路由。設定策略名稱並指定符合的流量條件。啟用進階設定：在「進階設定」中，選擇下一跳類型為「介面」或「閘道」（避免選擇「自動」）。設定健康檢查 (Health Check)：啟用「健康檢查」。選擇方法，例如：「當介面連結中斷時自動停用策略路由」或「ICMP Ping 檢查」。若選擇 ICMP Ping 檢查，需指定目標 IP（例如：8.8.8.8）。保存設定：…
USG FLEX H 有多組固定IP如何設定對外NAT成另一個IP
有時候因需求會需要將不同設備使用不同的Public IP 上網，以下針對此應用情境設定範例如下：新增一個位址物件新增 Policy Route
USG FLEX H 防火牆 NAT 設定教學
NAT 功能簡介由於 IPv4 公共 IP 的不足以及資安考量，一般的網路環境都是使用防火牆 WAN 介面連接電信業者數據機取得公共 IP 位址，其餘網路設備則串接在防火牆 LAN 介面底下，並且取得私有 IP 位址。然而私有 IP 遇到的問題是外網的連線無法直達，因此需要透過 NAT 功能，讓防火牆將連線到 WAN 公共 IP 位址的封包轉送給內部 Server 。若設定完成，無法正常運作，可以參考此篇障礙排除教學 : 以下為各位介紹防火牆 NAT 功能的設定步驟 : 設定情境當使用者連接 Https://1.163.110.104:8443，防火牆會轉換為內部設備 192.168.1.77 的 Https Step1.…
USG FLEX H-DHCP Clinet 清單為何無法顯示設備的主機名稱?
USG FLEX H 升級韌體至uOS 1.30時，要求主機名稱需符合RFC 1123規則，此規則要求如下：主機名稱不能以連字號 (-) 開頭。它們只能包含字母（AZ、az）、數字（0-9）和連字號（-）。最大長度為 255 個字元。故如果之前已有輸入非上述規則的主機名稱，或現有主機的名稱不符合，就會以MAC 的方式呈現。

歡迎！

看起來你是新來的。登錄或註冊以開始使用。