-
USG Flex/ATP系列機型如何透過CLI查看Web-GUI存取連接埠號碼
為了資訊安全考量強烈建議您變更防火牆的 Web-GUI HTTPS存取連接埠號碼以提高安全性,如何更改可以參考防火牆開啟外網連接網頁管理介面。 如果忘記 Web-GUI 連接埠號碼,使用者可以透過CLI(SSH/CONSOLE)查看。 例如,使用者透過以下方式將HTTPS連接埠號碼改成8443來存取防火牆 如果忘記了上述HTTPS連接埠號碼可以使用 CLI 指令「show ip http server secure status」來取回Web-GUI 存取連接埠號碼
-
Zyxel 提供緩解防火牆被 DDoS 攻擊的建議
近日有許多企業與個人戶面臨分散式拒絕服務攻擊 (DDoS)的網路威脅,包括 Microsoft 365、Intune、Power BI 和 Azure App Services 等 Microsoft 服務中斷 9 小時。這種攻擊方式通過大量的惡意流量,試圖癱瘓目標網路或服務,導致正常用戶無法訪問。然而,儘管DDoS攻擊的威脅不容忽視,透過採取適當的防禦措施,使用者依然可以有效減緩這類攻擊所帶來的風險。以下是識別和解決此類問題的關鍵跡象和解決方案。 如果您在過去幾天中遇到了以下問題,那麼可能是遭受了 DDoS 攻擊: CPU / RAM使用率高 防火牆無回應 網路負載增加 連接埠的流量有所增加 Zyxel…
-
近期”防火牆的VPN 連線斷線和 Web 管理界面異常“解決方法
注意:在更新Hotfix韌體之前,若您在現場的話請拔掉WAN網路線後,重新啟動設備進行韌體更新;若您不在現場無法拔除WAN網路線,至少更新韌體前先進行重新啟動,以減少韌體更新期間發生watchdog reboot造成韌體升級失敗,而造成設備需要RMA的風險 我們已收到通知,目前有幾個與防火牆的VPN 連線斷線和 Web 管理界面異常的問題。 針對此問題,我們立即為所有型號開發緊急Hotfix 韌體。 建議您立即安裝修補的更新韌體,以獲得最佳保護。 詳細解決方案請見下方常見問題,為您解決異常! 對於這一事件向您帶來的不便,Zyxel Networks 團隊深感抱歉。 目前最新版本5.36 Patch 2 及 4.73 Patch 2已經釋出…
-
如何強化防火牆管理?
當今網絡安全形勢越來越複雜,防火牆像是一道堅實的城牆,保護您的網絡免於惡意攻擊。 然而,只有擁有防火牆並不足以保護您的網絡免於攻擊,如何強化防火牆管理,成為了當務之急,以確保您的網絡安全。 在這篇文章中,我們分享一些方法和技巧,透過安全性策略的嚴謹設定,讓您的防火牆管理更加高效、安全! 如果沒有IPSec VPN及遠端管理的需求,請在安全性策略-策略控制將WAN_to_Device 此條規則直接停用。 如果有IPSec VPN及遠端管理的需求,請在安全性策略-策略控制將WAN_to_Device 此條規則務必指定”來源IP”。…
-
防火牆常見問題導覽
以下為防火牆常見問題教學文章的超連結導覽,提供各位以便於快速找到所需的資料 : 建議使用 ctrl+f 輸入關鍵字,快速找到您需要的資料。 障礙排除相關功能 客戶反應網路不通,但是到底哪裡不通? 防火牆忘記密碼該怎麼辦? NAT 障礙排除教學 防火牆登入IP封鎖解除/使用者封鎖設定 您的內容過濾服務可能失效的原因是什麼? —————————————————————————————————————————————————————————— 設定相關功能 無線網路相關設定 Zyxel
防火牆發揮
WiFi 7 的無限潛力 WiFi環境的全方位改進:掌握無線健康度的最佳實踐 如何透過ZyXEL系列防火牆納管AP USG/ZYWALL…
-
什麼是勒索病毒?以及 Zyxel 如何幫助您抵禦它?
* 勒索病毒是一種惡意程式(惡意軟體),可阻止或限制用戶訪問其系統。 * 加密勒索軟體/檔案是勒索病毒達到攻擊的主要典型方式。 * 這類型的惡意程式迫使其受害者透過某些線上支付方式支付贖金,才開放訪問系統/數據的權限。 * 在某些情況下,受感染的狀況有可能是嵌在電子郵件中的URL,或是在受感染的網站下載技術程式而發生。 財務成本包括支付贖金和修復網路設備的成本。如果企業網路被中斷的很嚴重,此攻擊行為可能會導致營收損失和潛在的品牌傷害。由於攻擊造成資訊外洩的行為有可能導致第三方索賠的潛在成本。…
-
如何加強防火牆資訊安全,預防資安事件的威脅
* 定期變更具有管理員權限帳號 (admin-type) 的密碼 我們強烈建議您定期變更所有具有管理員權限帳號的密碼,達到更好的保護。 重複輸入兩次新的密碼,點選ok即可完成變更。 * 若您需要透過網際網路或SSL VPN 通道連接防火牆網頁進行設備管理,建議依照以下步驟保護您的設備。 1. 新增信任的外部 IP 位址,或是受信任的國家位址,並於接下來設定的防火牆規則套用此限制 Configuration > Object > Address/GeoIP 2. 新增設備的管理頁面或SSL VPN 服務 Port 的物件(物件 --> 服務 ),並於接下來設定的防火 牆規則套用此限制 (此範例將對管理頁面所使用的 Port 號由預設的 443…
-
使用 Nebula 18.20 解鎖 USG FLEX H 系列防火牆潛力
Zyxel 的 Nebula 雲端管理平台持續提供友善的集中網路管理方式,讓管理變得更便利,同時提升控制、可視性和安全性。隨著最新版本 Nebula 18.2 的推出,USG FLEX H 系列帶來更多雲端原生功能,這些功能簡化網路管理並加強安全性,幫助客戶在快速變化的數位環境中保持領先。 雲端原生功能減少管理負擔 USG FLEX H 系列現已引入關鍵的雲端原生功能,幫助用戶減少網路管理的複雜性,還透過先進的安全防護功能帶給用戶更多安心感。 安全設定同步 此功能允許客戶在所有 Nebula 管理的設備上強制執行一致的安全策略。透過同步 UTM…
-
如何直接修改VPN腳本檔?
由於最近 iOS&mac系統升級,改變了VPN 用戶端的 VPN 連線參數 但由於ATP/USG FLEX系列不像,NEBULA及USG FLEX H系列可以直截匯出新的VPN腳本檔 必須依靠精靈模式將預設腳本匯出後,再直接進行修改。 此篇文章教學如何直接修改腳本檔,順利讓所有設備套用。 下載VPN自動設定檔 完成設定精靈中的所有步驟後,點擊左側 Non-SecuExtender VPN Client 依據設備操作系統,選擇下載安裝腳本。 修改iOS/Mac OS Mobileconfig檔 已文字檔開啟編輯,修改成紅框參數 第 1 階段加密和身份驗證設定配置為 AES256/SHA256 DH19 ,將第 2 階段加密和身份驗證設定配置為…
-
IKEv2 VPN 憑證過期處理:完整步驟說明
前言 由於安全性原因,IKEv2 VPN 精靈模式產生的憑證會在 2 年後到期。當憑證過期後,使用者將無法再連接 VPN。本篇文章將說明遇到此情況時,如何重新產生憑證。 設定步驟 若操作順序錯誤,將無法成功執行,因此請您依照以下設定步驟操作。 步驟1 - 刪除 VPN 設定配置 請前往【設定 > VPN > IPSec VPN > 設定配置】,選擇 IKEv2 VPN 的規則(精靈模式產生的名稱為 RemoteAccess_Wiz),點選移除。 步驟2 - 刪除 VPN 連線 請前往【設定 > VPN > IPSec VPN > VPN 連線】,選擇 IKEv2 VPN 的規則(精靈模式產生的名稱為…
-
蘋果更新 iOS18 & macOS Sonoma,無法連線VPN問題及解決方法
問題: 為什麼更新到 iOS 18 後無法建立 IKEv2 VPN 連線?我該如何解決這個問題? 答: iOS 原生 VPN 用戶端的 VPN 連線參數已更新,請調整設定以確保遠端 VPN 能正常運作。 USG Flex/ATP 防火牆型號設定: 請導覽至 設定 > VPN > IPsec > VPN 閘道器 > 新增或修改 VPN 第 1 階段設定。(請先按顯示進階設定) 請將第一階段加密和驗證設定配置為 AES256/SHA256 DH2/DH14/DH19。 請導覽至 設定 > VPN > IPsec > VPN 連線 > 新增或修改 VPN 第 2 階段設定(顯示進階設定) 請將第 2 階段加密和身份驗證設定配置為…
-
Zyxel USG FLEX 和 ATP 系列 – 升級您的設備及所有憑證以避免駭客攻擊
前言 Zyxel 團隊已追蹤到威脅行為者針對先前存在漏洞的 Zyxel 安全設備進行攻擊,且管理員密碼未被及時更改。我們建議所有用戶更新所有管理員帳號以確保最佳保護。 根據我們的調查,威脅行為者利用之前漏洞中竊取的有效憑證,由於這些憑證未被更改,攻擊者利用臨時用戶帳號(如「SUPPOR87」、「SUPPOR817」或「vpn」)建立 SSL VPN 通道,進一步修改安全策略,取得設備和網路的存取權限。 受影響的產品 ATP 和 USG FLEX 系列設備在使用本地管理模式(On-Premise Mode)時,如果過去曾啟用遠端管理或 SSL VPN,且管理員帳號的憑證未更新或未啟用雙因素驗證(2FA),則會受到影響。 使用 Nebula…
-
資安路由器-規格表
Category SCR 50AXE USG LITE 60AX Rule / Policy Limits VLAN 4 4 Firewall Rules 15 15 Virtual Server 10 10 Application Profile 5 5 Application Bandwidth Control None 10 Application Bandwidth Control by Usage None 30 Content Filter Profile 5 5 Custom Allow Domain 50 50 Custom Block Domain 50 50 Site-to-Site VPN 3 3 DNS…
-
[ATP/USG FLEX]防火牆透過 AD 伺服器實現 IKEv2 VPN 用戶認證
前言 本篇文章將說明如何讓防火牆讀取 AD 伺服器,並透過 AD 伺服器的資料庫進行 IKEv2 VPN 用戶認證。如果您對 IKEv2 的設定尚不熟悉,可以先參考此文章,完成 USG FLEX/ATP 系列防火牆的 IKEv2 VPN 遠端存取設定教學。 設定步驟 在 IKEv2 用戶認證中,將使用 MSCHAPv2 來與 AD 伺服器進行驗證。因此,您需要在您的防火牆上配置 MSCHAPv2。(在本測試場景中,usg.com 是 AD 網域名稱) 步驟1 - 修改防火牆主機名稱並新增網域名稱 請前往【設定 > 系統 > 主機名稱】,編輯系統名稱、網域名稱 步驟2 - 編輯或新增 AD Server 啟用 MSCHAP 功能 前往【設定…
-
提升管理效率:Nebula 交換器埠配置功能介紹
前言 Zyxel Nebula 控制中心 (NCC) 推出了一項新功能——交換器埠配置,旨在解決網路管理員面臨的多項挑戰。此功能簡化了交換器配置管理,特別是在交換器被移除或更換時,提供了一種方便的方式,能夠對多個埠及交換器型號應用一致的設定。 優勢與功能介紹 配置穩定性 當交換器從 Nebula 站點移除時,其配置設定會丟失。交換器埠配置功能確保這些配置能夠保留並重新應用,解決了使用者的一大痛點。 跨型號的統一配置 交換器埠配置能夠跨不同型號使用,提供了一種更靈活且高效的交換器配置管理方式。 簡化大量配置 管理員可以創建虛擬埠配置檔,並將其分配給多個實體埠。這減少了手動配置每個埠的需求,節省時間,並降低配置錯誤的風險。 設定教學…
-
收到中華電信告警 DNS Open Resolver 弱點該怎麼辦?
何謂 DNS Open Resolver ? DNS Open Resolver 是指一種 DNS 伺服器設定,允許它向任何請求者回應DNS查詢,而不限制只回應特定範圍內的請求。這意味著任何人都可以使用這樣的DNS伺服器來查詢DNS資訊,無需身份驗證或限制。 一般來說,DNS服務應該只允許內網使用,而不允許外部網路連接到防火牆的DNS服務。但若是管理員設定錯誤,則有可能導致外網能存取防火牆 DNS 服務。 中華電信會協助客戶進行弱點掃描,檢查他們所分配的 IP 是否存在 DNS Open Resolver 漏洞。如果發現此類問題,將發出告警提醒客戶進行修復。 本文將提供步驟教您如何排除 DNS Open Resolver 的風險。…
-
【2024年10月通知】透過最新的 ZLD5.39 更新並提升您的網路
ZLD5.39 讓您有更強大的流量控制,並且以新的 CLI 指令來傳送帶有數據的 TCP SYN 封包、享受更快速的過濾,以及修復 Chrome TLS 1.3 內容過濾器的錯誤。立即更新,提升安全性。 Zyxel 致力於持續為您的設備提供更新,確保重要的維護資訊。本次最新版本還提升了 Zyxel 防火牆產品的全方位功能,包括: ➡ 表一:功能提升 項目 描述 功能優化 建立CLI 來啟用「傳送帶有數據的 TCP SYN 封包」。 優化 URL 威脅過濾器/內容過濾器的掃描流程,以避免不必要的檢查。 ➡ 表二:解決的問題 漏洞 ID 描述 240401350 240401693 240501058 240701813…
-
如何在 SecuReporter 中顯示主機名稱及MAC Address
在檢查 SecuReporter Dashboard Top N 或是 Analysis 您可能會發現 Hostname / MAC Address沒有正確的顯示相關訊息 您需要啟用“Device Insight”才能在 SecuReporter 顯示 Hostname / MAC Address資訊 登入防火牆後,到 設定 > 物件 > Device Insight 勾選 新增一個組合,依照類別等進行設定 以上完成後防火牆會開始收集資料,從 監控 > 網路狀態 > Device Insight 可以檢查收集的訊息 防火牆收集資料後上傳 SecuReporter 會需要一點時間 登入 SecuReporter 就會看到收集到的資訊及統計資料…
-
USG FLEX H 介面設定教學
前言 在設置新的網路環境時,網路管理人員通常會事先規劃好各個網段和 VLAN。本文將指導您如何在 USG FLEX H 防火牆上正確配置您預先設計的網段。 防火牆介面分為「外部介面」、「內部介面」: 外部介面通常被稱為 WAN 介面,用於與數據機連接,並連接到網際網路。 內部介面通常被稱為 LAN 介面,用於內部網路,可使用的網段包括「10.0.0.0/8」「172.16.0.0/12」「192.168.0.0/16」。 介面設定位置為 : 「網路」>「介面」>「介面」 備註 : 本篇文章使用 USG FLEX 500H V1.21(ABZH.0) 版本作為截圖畫面。 WAN 介面 (外部介面) 防火牆的預設值中,ge1 和 ge2 介面為…
-
強化網路安全:如何在 USG Flex H 系列防火牆啟用憑證登入
前言 現代網路對外連線已經無法缺少標準的網路安全設備「防火牆」。防火牆不僅肩負對外阻擋惡意流量入侵的重責大任,對內更可以提供 DHCP 服務派發 IP 位址或管理無線基地台等功能,是維護網路環境安全的關鍵設備。 為了確保防火牆管理介面的安全性,除了傳統的帳號密碼與雙因素驗證 (2FA) 外,還可以導入更強大的安全機制 - "憑證" 驗證。憑證驗證透過數位簽章和加密技術,提供更嚴格的身份驗證,有效防止未經授權的存取,進一步提升防火牆的安全性。 什麼是憑證登入? 憑證登入是一種比傳統帳號密碼更安全的網路設備管理方式。它使用數位憑證(包含公鑰和私鑰)來驗證用戶身份。 優點: 安全性更高: 憑證登入可以有效防止密碼被竊取或暴力破解。…
-
USG FLEX H 防火牆初始設定指南
前言 當您首次取得 USG FLEX H 防火牆時,如果缺乏相關經驗,可能會不確定該如何開始操作。本篇文章將為您提供詳細的初始設定教學,幫助您輕鬆上手,快速掌握防火牆的管理操作。 操作步驟 以下是詳細的操作流程: 步驟1 - 防火牆開機 將防火牆接上電源後,觀察 PWR/SYS 指示燈是否開始閃爍。當燈號恆亮時,表示設備已開機完成,您即可進行下一步操作。 步驟2 - 連接防火牆 防火牆預設值 Port4 為 LAN 介面,將電腦連上即可取得 LAN 網段 192.168.168.0/24。檢查乙太網路狀態: 打開「控制台」→ 點選「網路和分享中心」。 點選「變更介面卡設定」,右鍵點選「乙太網路」,然後選擇「狀態」。 點擊「詳細資料」,確認…
-
USG FLEX H 系列防火牆規則設定教學
前言 防火牆的主要功能是阻擋非法入侵,它是如何做到的呢?這是通過防火牆規則對流量進行過濾來實現的,這也是防火牆的核心功能。 以下教學將幫助您基本了解防火牆設備的工作原理,並準備好開始創建自己的防火牆規則。 在深入設定之前,我們先簡要介紹防火牆的構建方式。防火牆規則是由各種物件組成的,下面將介紹這些物件的意義。 備註 : 本篇文章截圖畫面使用 USG FLEX 500H V1.21(ABZH.0) 版本 介面 防火牆由多個網路介面組成,包括從 WAN 到 LAN 介面,還有您在設備上新增的所有其他虛擬介面。 物件 就像區域中有多個“物件”一樣,您可以創建多個地址物件、服務物件及其他類型的物件來應用到防火牆規則中。…
-
如何啟用 ZYXEL 防火牆的外網 PING 功能
前言 在某些情境下,網路管理員可能需要透過外網 PING 防火牆,以監控防火牆是否正常運作。PING 是一種基本且有效的網路診斷工具,能快速測試網路設備的連通性。然而,ZYXEL 防火牆的預設設定不允許外網的 PING 請求。如果您希望開啟此功能,請參考以下設定教學。 設定教學 本教學將介紹如何在 ZYXEL 各型防火牆上啟用外網 PING 功能,適用於 ATP/USG FLEX/VPN 及 USG FLEX H 系列防火牆,請依照您的型號選擇設定教學。 ATP/USG FLEX/VPN 系列防火牆設定教學 以下設定範例截圖畫面使用 ATP200 V5.38(ABFW.0) 步驟1 - 新增防火牆規則…
-
深入了解如何在 ZYXEL USG Flex H 系列防火牆上設置 SSL VPN
什麼是 SSL VPN SSL VPN 遠端安全存取服務可以讓企業員工遠距辦公時,建立加密通道連接企業內部網路,安全存取企業內部資源,進行公文審核及緊急事件處理。 SSL VPN 利用 SSL/TLS 加密協議,讓企業員工在遠程辦公時能夠安全地連接公司內部網路。與傳統 VPN 相比,SSL VPN 使用不同的服務 Port,較能避免被封鎖的可能,使用方便且安全性高。此外,它支援多種操作系統,適合各種設備,使得企業無論何時何地都能保持安全的網路連接。 SSL VPN 用戶同時連線數 USG FLEX H 系列防火牆依據型號具有不同的 SSL VPN 同時連線用戶上限(裝置數量),請確認該型號是否符合您的需求 : USG FLEX 100H :…
-
SecuExtender SSL VPN macOS 客戶端更新終止後,有什麼升級選項?
SecuExtender SSL VPN MAC OS X 客戶端即將更新終止與升級選項 SecuExtender SSL VPN MAC OS X 客戶端即將更新終止(EOL)。雖然我們將不再銷售此產品,但我們有以下選項確保您能維持網路安全和連接。 選項1:使用 IPSec VPN 替代 SSL VPN IPSec VPN 基本上適用於所有 Zyxel 防火牆和終端平台,包括 macOS、iOS、Windows 和Android。IPSec VPN 相比 SSL VPN 有以下幾個優勢: 高安全性: 使用多種加密和身份驗證方法提供強大的安全性。較少可能遇到網路攻擊,如跨站腳本攻擊。 高性能: 根據應用程式和連接條件,IPSec VPN…
-
Zyxel 在 2024 年度 CRN® 科技創新獎中獲得殊榮
Zyxel USG FLEX 700H 被 CRN® 評為最佳中小企業網路安全解決方案 我們非常高興能與大家分享這個激動的消息!Zyxel 的 USG FLEX 700H 被《CRN®》(The Channel Company 旗下品牌)評選為 2024 年最佳中小企業網路安全解決方案。這項殊榮肯定Zyxel 一直以來致力於提供頂級、創新且值得信賴的網路安全解決方案的努力。 為什麼 Zyxel USG FLEX 700H 能脫穎而出 USG FLEX 700H 有強大的功能,確保全面的網路安全和無縫連接,是一個為中小企業量身打造的解決方案。以下是這款防火牆能脫穎而出的產品亮點: 進階威脅保護: USG FLEX 700H…
-
防火牆規格表_Nebula (ZLD5.37)
設備會依據型號不同,而有規格上的差異。 本地管理的規格可從user guide 的附錄上查到不同型號的規格數量. 設備上雲後的規格可參考下列規格表 (備註:Nebula 沒有物件的概念,所以沒有物件數量上的差異,但單一筆條例來源/目的可設定10筆物件數量) Model Name USG20-VPN USG20W-VPN USG FLEX 50 USG FLEX 50AX USG FLEX 100 USG FLEX 100W USG FLEX 100AX USG FLEX 200 USG FLEX 500 USG FLEX 700 ATP100 ATP100W ATP200 ATP500 ATP700 ATP800 Interface…