防火牆常見問題 - Zyxel Community

USG Flex/ATP系列機型如何透過CLI查看Web-GUI存取連接埠號碼
為了資訊安全考量強烈建議您變更防火牆的 Web-GUI HTTPS存取連接埠號碼以提高安全性，如何更改可以參考防火牆開啟外網連接網頁管理介面。如果忘記 Web-GUI 連接埠號碼，使用者可以透過CLI(SSH/CONSOLE)查看。例如，使用者透過以下方式將HTTPS連接埠號碼改成8443來存取防火牆如果忘記了上述HTTPS連接埠號碼可以使用 CLI 指令「show ip http server secure status」來取回Web-GUI 存取連接埠號碼
Zyxel 提供緩解防火牆被 DDoS 攻擊的建議
近日有許多企業與個人戶面臨分散式拒絕服務攻擊 (DDoS)的網路威脅，包括 Microsoft 365、Intune、Power BI 和 Azure App Services 等 Microsoft 服務中斷 9 小時。這種攻擊方式通過大量的惡意流量，試圖癱瘓目標網路或服務，導致正常用戶無法訪問。然而，儘管DDoS攻擊的威脅不容忽視，透過採取適當的防禦措施，使用者依然可以有效減緩這類攻擊所帶來的風險。以下是識別和解決此類問題的關鍵跡象和解決方案。如果您在過去幾天中遇到了以下問題，那麼可能是遭受了 DDoS 攻擊： CPU / RAM使用率高防火牆無回應網路負載增加連接埠的流量有所增加 Zyxel…
近期”防火牆的VPN 連線斷線和 Web 管理界面異常“解決方法
注意：在更新Hotfix韌體之前，若您在現場的話請拔掉WAN網路線後，重新啟動設備進行韌體更新；若您不在現場無法拔除WAN網路線，至少更新韌體前先進行重新啟動，以減少韌體更新期間發生watchdog reboot造成韌體升級失敗，而造成設備需要RMA的風險我們已收到通知，目前有幾個與防火牆的VPN 連線斷線和 Web 管理界面異常的問題。針對此問題，我們立即為所有型號開發緊急Hotfix 韌體。建議您立即安裝修補的更新韌體，以獲得最佳保護。詳細解決方案請見下方常見問題，為您解決異常！對於這一事件向您帶來的不便，Zyxel Networks 團隊深感抱歉。目前最新版本5.36 Patch 2 及 4.73 Patch 2已經釋出…
如何強化防火牆管理？
當今網絡安全形勢越來越複雜，防火牆像是一道堅實的城牆，保護您的網絡免於惡意攻擊。然而，只有擁有防火牆並不足以保護您的網絡免於攻擊，如何強化防火牆管理，成為了當務之急，以確保您的網絡安全。在這篇文章中，我們分享一些方法和技巧，透過安全性策略的嚴謹設定，讓您的防火牆管理更加高效、安全！如果沒有IPSec VPN及遠端管理的需求，請在安全性策略-策略控制將WAN_to_Device 此條規則直接停用。如果有IPSec VPN及遠端管理的需求，請在安全性策略-策略控制將WAN_to_Device 此條規則務必指定”來源IP”。…
防火牆常見問題導覽
以下為防火牆常見問題教學文章的超連結導覽，提供各位以便於快速找到所需的資料 : 建議使用 ctrl+f 輸入關鍵字，快速找到您需要的資料。障礙排除相關功能 USG FLEX H 系列防火牆忘記密碼該怎麼辦? 客戶反應網路不通，但是到底哪裡不通？防火牆忘記密碼該怎麼辦? NAT 障礙排除教學防火牆登入IP封鎖解除/使用者封鎖設定您的內容過濾服務可能失效的原因是什麼？ —————————————————————————————————————————————————————————— 設定相關功能無線網路相關設定 ATP/USG FLEX 無線控制器 AP 韌體更新教學 Zyxel 防火牆發揮 WiFi 7 的無限潛力…
什麼是勒索病毒？以及 Zyxel 如何幫助您抵禦它？
* 勒索病毒是一種惡意程式（惡意軟體），可阻止或限制用戶訪問其系統。 * 加密勒索軟體/檔案是勒索病毒達到攻擊的主要典型方式。 * 這類型的惡意程式迫使其受害者透過某些線上支付方式支付贖金，才開放訪問系統/數據的權限。 * 在某些情況下，受感染的狀況有可能是嵌在電子郵件中的URL，或是在受感染的網站下載技術程式而發生。財務成本包括支付贖金和修復網路設備的成本。如果企業網路被中斷的很嚴重，此攻擊行為可能會導致營收損失和潛在的品牌傷害。由於攻擊造成資訊外洩的行為有可能導致第三方索賠的潛在成本。…
如何加強防火牆資訊安全，預防資安事件的威脅
* 定期變更具有管理員權限帳號 (admin-type) 的密碼我們強烈建議您定期變更所有具有管理員權限帳號的密碼，達到更好的保護。重複輸入兩次新的密碼，點選ok即可完成變更。 * 若您需要透過網際網路或SSL VPN 通道連接防火牆網頁進行設備管理，建議依照以下步驟保護您的設備。 1. 新增信任的外部 IP 位址，或是受信任的國家位址，並於接下來設定的防火牆規則套用此限制 Configuration > Object > Address/GeoIP 2. 新增設備的管理頁面或SSL VPN 服務 Port 的物件（物件 --> 服務），並於接下來設定的防火牆規則套用此限制 (此範例將對管理頁面所使用的 Port 號由預設的 443…
USG FLEX H 防火牆策略路由設定教學
前言在現代網路架構中，企業對於流量管理的需求越來越高。隨著網路應用多樣化以及資源的分布，如何有效地控制與分配不同類型的流量成為一個關鍵課題。防火牆的策略路由功能提供了靈活的解決方案，讓管理者可以根據來源、目的地、應用等條件精細地分配流量到不同路徑，以達到流量分流、資源最佳化或滿足特定需求的目標。本篇文章將向您介紹如何調整 USG FLEX H 系列防火牆的路由。最常見的使用情境範例，例如 SNAT、透過特定 WAN 介面路由傳輸以及透過 VPN 通道路由傳輸，助您實現流量控制，提升網路效能與安全性。備註 : 本篇文章截圖畫面使用 USG FLEX 500H V1.30(ABZH.0) 版本應用情境以下向各位介紹一些常見場景的範例…
USG FLEX H 防火牆管理員帳號設定教學
前言在網路安全日益重要的今天，正確配置管理員帳號是確保網路安全的首要步驟。USG FLEX H 系列防火牆提供了多樣的管理功能，適合企業和組織進行安全管理。本篇教學將指導您如何設定管理員帳號、密碼政策、帳號權限等配置，確保系統僅授權人員能夠存取。希望透過這篇文章，能幫助您快速上手，並加強您的網路安全防護措施。備註 : 本篇文章使用 USG FLEX 500H V1.30(ABZH.0) 作為截圖畫面新增帳號/權限首先前往【使用者語認證 > 使用者/群組 > 使用者】頁面即可查詢當前管理帳號，以及編輯管理帳號。新增帳號輸入「使用者名稱」、「密碼」，選擇「使用者類型」，點選「套用」即可完成。…
USG FLEX H 防火牆如何使用 Gmail 電子郵件發送設備日報表？
前言在日常的網路管理中，定期接收防火牆的日報表和事件日誌，能讓管理者隨時掌握系統健康狀況並快速處理潛在風險。USG FLEX H 防火牆支援使用 Gmail 作為 SMTP 伺服器來發送這些通知，讓管理者能夠簡化監控流程並提高管理效率。本篇教學將詳細說明如何設定 USG FLEX H 防火牆，透過 Gmail 發送設備的日報表和事件日誌。備註 : 本篇文章使用 USG FLEX 500H V1.30(ABZH.0) 作為截圖畫面設定步驟請依照以下設定步驟，啟用 Gmail SMTP 步驟1 - 進入 Google 帳戶設定頁面於 Google 瀏覽器 Chrome 登入您的 google 帳號後，點選大頭貼進入「管理你的…
如何將 USG FLEX H 防火牆設定為中文介面
前言 USG FLEX H 防火牆介面支援多國語系，為了讓您操作更加直覺，我們將為您介紹如何將介面設定為繁體中文。身為中文使用者，將介面切換為熟悉的語言，可以更輕鬆地進行各種設定。備註 : 本篇文章使用 USG FLEX 500H V1.30(ABZH.0) 作為截圖畫面設定教學點選網頁管理介面右上角的「地球圖示」即可選擇「繁體中文」，點選即可完成切換。設定完成後，系統將立即套用變更，您會發現介面已經切換為繁體中文了。
如何設定 USG FLEX H 防火牆 Syslog Server(日誌管理伺服器)
前言透過防火牆事件日誌可以查詢某個時間點發生了甚麼問題，這對於網管人員來說是非常重要的。防火牆依照型號大小，具有不同的事件日誌儲存比數，最小型號的防火牆只會有 256 筆儲存空間，新的日誌將複寫最舊的紀錄。若只依賴防火牆儲存空間，將造成無法追蹤異常紀錄的狀況。因此本篇文章向各位說明，如何設定防火牆 Syslog Server，將事件日誌導到外部儲存空間，保留數個月、甚至數年的紀錄，以備查詢。備註 : 本篇文章使用 USG FLEX 500H V1.30(ABZH.0) 作為截圖畫面設定步驟以下將說明防火牆如何設定 Syslog Server，以及使用 Visual Syslog Server 作為範例。備註 : Visual…
ATP/USG FLEX 防火牆 VLAN 介面設定教學
前言在一個網路環境中，通常會有許多不同類別的網路設備。為了實現隔離，網路管理人員通常會將這些設備劃分到不同的網段。為了達成這個需求，最常使用的功能就是 VLAN。透過 VLAN，可以讓同一條網路線傳輸來自不同網段的流量，同時實現彼此的隔離。每個 VLAN 需要有專屬的閘道，也就是防火牆的 VLAN 介面。本篇文章將指導您如何在 ZYXEL 防火牆上新增 VLAN 介面。設定教學如下圖範例，防火牆規劃 LAN1、VLAN10 和 VLAN20 介面，讓相應的網路設備可以取得 IP 並進行路由傳輸。若防火牆啟用了 VLAN 介面，封包經過的交換器也需要配置相應的 VLAN 設定。關於交換器的 VLAN 設定，您可以參考這篇文章：…
USG FLEX H 系列防火牆忘記密碼該怎麼辦?
前言本篇文章透過完整的操作步驟，向您說明，當防火牆密碼遺失，該如何處理，才能保留原有設定檔，成功再次登入防火牆。以下提供兩種方法，請您依照您的環境選擇操作方式 : 方法1 : 透過 Console 重設管理員密碼方法2 : 透過備份設定檔還原管理員密碼若您手邊沒有 Console 線材，僅能選擇此方法。 —————————————————————————————————————————————————————————— 方法1 : 透過 Console 重設管理員密碼透過 Console 介面可以只重置 admin 管理員的密碼，而無需重置整個裝置。操作步驟如下：注意：僅能透過 Console 介面操作，若您尚未熟悉…
ATP/USG FLEX 無線控制器 AP 韌體更新教學
前言當 AP 由防火牆無線控制器管理時，韌體更新將統一由控制器派送。本篇文章將說明如何進行 AP 韌體更新操作。透過控制器統一派送韌體更新，不僅確保安全性，還大幅簡化了管理流程。操作步驟請按照以下步驟進行操作，以完成 AP 韌體更新。步驟1 - 控制器下載 AP 最新版韌體請前往【設定 > 無線 > AP 管理 > 韌體】頁面，點選「檢查」「更新韌體」，確認運行韌體與可用韌體相同後，即可前往下一步驟進行 AP 韌體升級。若韌體更新失敗，表示防火牆無法連接外網，請檢查 WAN 介面設定是否正確。若您仍尚未熟悉相關操作，請參考此教學文章 : WAN 介面設定教學步驟2 - 更新 AP 韌體請前往【設定 > 無線 > AP…
使用 Nebula 18.20 解鎖 USG FLEX H 系列防火牆潛力
Zyxel 的 Nebula 雲端管理平台持續提供友善的集中網路管理方式，讓管理變得更便利，同時提升控制、可視性和安全性。隨著最新版本 Nebula 18.2 的推出，USG FLEX H 系列帶來更多雲端原生功能，這些功能簡化網路管理並加強安全性，幫助客戶在快速變化的數位環境中保持領先。雲端原生功能減少管理負擔 USG FLEX H 系列現已引入關鍵的雲端原生功能，幫助用戶減少網路管理的複雜性，還透過先進的安全防護功能帶給用戶更多安心感。安全設定同步此功能允許客戶在所有 Nebula 管理的設備上強制執行一致的安全策略。透過同步 UTM…
如何直接修改VPN腳本檔?
由於最近 iOS&mac系統升級，改變了VPN 用戶端的 VPN 連線參數但由於ATP/USG FLEX系列不像，NEBULA及USG FLEX H系列可以直截匯出新的VPN腳本檔必須依靠精靈模式將預設腳本匯出後，再直接進行修改。此篇文章教學如何直接修改腳本檔，順利讓所有設備套用。下載VPN自動設定檔完成設定精靈中的所有步驟後，點擊左側 Non-SecuExtender VPN Client 依據設備操作系統，選擇下載安裝腳本。修改iOS/Mac OS Mobileconfig檔已文字檔開啟編輯，修改成紅框參數第 1 階段加密和身份驗證設定配置為 AES256/SHA256 DH19 ，將第 2 階段加密和身份驗證設定配置為…
IKEv2 VPN 憑證過期處理：完整步驟說明
前言由於安全性原因，IKEv2 VPN 精靈模式產生的憑證會在 2 年後到期。當憑證過期後，使用者將無法再連接 VPN。本篇文章將說明遇到此情況時，如何重新產生憑證。設定步驟若操作順序錯誤，將無法成功執行，因此請您依照以下設定步驟操作。步驟1 - 刪除 VPN 設定配置請前往【設定 > VPN > IPSec VPN > 設定配置】，選擇 IKEv2 VPN 的規則(精靈模式產生的名稱為 RemoteAccess_Wiz)，點選移除。步驟2 - 刪除 VPN 連線請前往【設定 > VPN > IPSec VPN > VPN 連線】，選擇 IKEv2 VPN 的規則(精靈模式產生的名稱為…
蘋果更新 iOS18 & macOS Sonoma，無法連線VPN問題及解決方法
問題：為什麼更新到 iOS 18 後無法建立 IKEv2 VPN 連線？我該如何解決這個問題？答： iOS 原生 VPN 用戶端的 VPN 連線參數已更新，請調整設定以確保遠端 VPN 能正常運作。 USG Flex/ATP 防火牆型號設定：請導覽至設定 > VPN > IPsec > VPN 閘道器 > 新增或修改 VPN 第 1 階段設定。(請先按顯示進階設定) 請將第一階段加密和驗證設定配置為 AES256/SHA256 DH2/DH14/DH19。請導覽至設定 > VPN > IPsec > VPN 連線 > 新增或修改 VPN 第 2 階段設定(顯示進階設定) 請將第 2 階段加密和身份驗證設定配置為…
Zyxel USG FLEX 和 ATP 系列 – 升級您的設備及所有憑證以避免駭客攻擊
前言 Zyxel 團隊已追蹤到威脅行為者針對先前存在漏洞的 Zyxel 安全設備進行攻擊，且管理員密碼未被及時更改。我們建議所有用戶更新所有管理員帳號以確保最佳保護。根據我們的調查，威脅行為者利用之前漏洞中竊取的有效憑證，由於這些憑證未被更改，攻擊者利用臨時用戶帳號（如「SUPPOR87」、「SUPPOR817」或「vpn」）建立 SSL VPN 通道，進一步修改安全策略，取得設備和網路的存取權限。受影響的產品 ATP 和 USG FLEX 系列設備在使用本地管理模式（On-Premise Mode）時，如果過去曾啟用遠端管理或 SSL VPN，且管理員帳號的憑證未更新或未啟用雙因素驗證（2FA），則會受到影響。使用 Nebula…
資安路由器-規格表
Category SCR 50AXE USG LITE 60AX Rule / Policy Limits VLAN 4 4 Firewall Rules 15 15 Virtual Server 10 10 Application Profile 5 5 Application Bandwidth Control None 10 Application Bandwidth Control by Usage None 30 Content Filter Profile 5 5 Custom Allow Domain 50 50 Custom Block Domain 50 50 Site-to-Site VPN 3 3 DNS…
[ATP/USG FLEX]防火牆透過 AD 伺服器實現 IKEv2 VPN 用戶認證
前言本篇文章將說明如何讓防火牆讀取 AD 伺服器，並透過 AD 伺服器的資料庫進行 IKEv2 VPN 用戶認證。如果您對 IKEv2 的設定尚不熟悉，可以先參考此文章，完成 USG FLEX/ATP 系列防火牆的 IKEv2 VPN 遠端存取設定教學。設定步驟在 IKEv2 用戶認證中，將使用 MSCHAPv2 來與 AD 伺服器進行驗證。因此，您需要在您的防火牆上配置 MSCHAPv2。（在本測試場景中，usg.com 是 AD 網域名稱）步驟1 - 修改防火牆主機名稱並新增網域名稱請前往【設定 > 系統 > 主機名稱】，編輯系統名稱、網域名稱步驟2 - 編輯或新增 AD Server 啟用 MSCHAP 功能前往【設定…
收到中華電信告警 DNS Open Resolver 弱點該怎麼辦?
何謂 DNS Open Resolver ? DNS Open Resolver 是指一種 DNS 伺服器設定，允許它向任何請求者回應DNS查詢，而不限制只回應特定範圍內的請求。這意味著任何人都可以使用這樣的DNS伺服器來查詢DNS資訊，無需身份驗證或限制。一般來說，DNS服務應該只允許內網使用，而不允許外部網路連接到防火牆的DNS服務。但若是管理員設定錯誤，則有可能導致外網能存取防火牆 DNS 服務。中華電信會協助客戶進行弱點掃描，檢查他們所分配的 IP 是否存在 DNS Open Resolver 漏洞。如果發現此類問題，將發出告警提醒客戶進行修復。本文將提供步驟教您如何排除 DNS Open Resolver 的風險。…
【2024年10月通知】透過最新的 ZLD5.39 更新並提升您的網路
ZLD5.39 讓您有更強大的流量控制，並且以新的 CLI 指令來傳送帶有數據的 TCP SYN 封包、享受更快速的過濾，以及修復 Chrome TLS 1.3 內容過濾器的錯誤。立即更新，提升安全性。 Zyxel 致力於持續為您的設備提供更新，確保重要的維護資訊。本次最新版本還提升了 Zyxel 防火牆產品的全方位功能，包括： ➡ 表一：功能提升項目描述功能優化建立CLI 來啟用「傳送帶有數據的 TCP SYN 封包」。優化 URL 威脅過濾器/內容過濾器的掃描流程，以避免不必要的檢查。 ➡ 表二：解決的問題漏洞 ID 描述 240401350 240401693 240501058 240701813…
如何在 SecuReporter 中顯示主機名稱及MAC Address
在檢查 SecuReporter Dashboard Top N 或是 Analysis 您可能會發現 Hostname / MAC Address沒有正確的顯示相關訊息您需要啟用“Device Insight”才能在 SecuReporter 顯示 Hostname / MAC Address資訊登入防火牆後，到設定 > 物件 > Device Insight 勾選新增一個組合，依照類別等進行設定以上完成後防火牆會開始收集資料，從監控 > 網路狀態 > Device Insight 可以檢查收集的訊息防火牆收集資料後上傳 SecuReporter 會需要一點時間登入 SecuReporter 就會看到收集到的資訊及統計資料…
USG FLEX H 介面設定教學
前言在設置新的網路環境時，網路管理人員通常會事先規劃好各個網段和 VLAN。本文將指導您如何在 USG FLEX H 防火牆上正確配置您預先設計的網段。防火牆介面分為「外部介面」、「內部介面」: 外部介面通常被稱為 WAN 介面，用於與數據機連接，並連接到網際網路。內部介面通常被稱為 LAN 介面，用於內部網路，可使用的網段包括「10.0.0.0/8」「172.16.0.0/12」「192.168.0.0/16」。介面設定位置為 : 「網路」>「介面」>「介面」備註 : 本篇文章使用 USG FLEX 500H V1.21(ABZH.0) 版本作為截圖畫面。內容大綱 WAN 介面(外部介面) 編輯 WAN 介面新增 WAN…
強化網路安全：如何在 USG Flex H 系列防火牆啟用憑證登入
前言現代網路對外連線已經無法缺少標準的網路安全設備「防火牆」。防火牆不僅肩負對外阻擋惡意流量入侵的重責大任，對內更可以提供 DHCP 服務派發 IP 位址或管理無線基地台等功能，是維護網路環境安全的關鍵設備。為了確保防火牆管理介面的安全性，除了傳統的帳號密碼與雙因素驗證 (2FA) 外，還可以導入更強大的安全機制 - "憑證" 驗證。憑證驗證透過數位簽章和加密技術，提供更嚴格的身份驗證，有效防止未經授權的存取，進一步提升防火牆的安全性。什麼是憑證登入？憑證登入是一種比傳統帳號密碼更安全的網路設備管理方式。它使用數位憑證（包含公鑰和私鑰）來驗證用戶身份。優點：安全性更高：憑證登入可以有效防止密碼被竊取或暴力破解。…

歡迎！

看起來你是新來的。登錄或註冊以開始使用。