防火牆常見問題 - Zyxel Community

USG Flex/ATP系列機型如何透過CLI查看Web-GUI存取連接埠號碼
為了資訊安全考量強烈建議您變更防火牆的 Web-GUI HTTPS存取連接埠號碼以提高安全性，如何更改可以參考防火牆開啟外網連接網頁管理介面。如果忘記 Web-GUI 連接埠號碼，使用者可以透過CLI(SSH/CONSOLE)查看。例如，使用者透過以下方式將HTTPS連接埠號碼改成8443來存取防火牆如果忘記了上述HTTPS連接埠號碼可以使用 CLI 指令「show ip http server secure status」來取回Web-GUI 存取連接埠號碼
Zyxel 提供緩解防火牆被 DDoS 攻擊的建議
近日有許多企業與個人戶面臨分散式拒絕服務攻擊 (DDoS)的網路威脅，包括 Microsoft 365、Intune、Power BI 和 Azure App Services 等 Microsoft 服務中斷 9 小時。這種攻擊方式通過大量的惡意流量，試圖癱瘓目標網路或服務，導致正常用戶無法訪問。然而，儘管DDoS攻擊的威脅不容忽視，透過採取適當的防禦措施，使用者依然可以有效減緩這類攻擊所帶來的風險。以下是識別和解決此類問題的關鍵跡象和解決方案。如果您在過去幾天中遇到了以下問題，那麼可能是遭受了 DDoS 攻擊： CPU / RAM使用率高防火牆無回應網路負載增加連接埠的流量有所增加 Zyxel…
近期”防火牆的VPN 連線斷線和 Web 管理界面異常“解決方法
注意：在更新Hotfix韌體之前，若您在現場的話請拔掉WAN網路線後，重新啟動設備進行韌體更新；若您不在現場無法拔除WAN網路線，至少更新韌體前先進行重新啟動，以減少韌體更新期間發生watchdog reboot造成韌體升級失敗，而造成設備需要RMA的風險我們已收到通知，目前有幾個與防火牆的VPN 連線斷線和 Web 管理界面異常的問題。針對此問題，我們立即為所有型號開發緊急Hotfix 韌體。建議您立即安裝修補的更新韌體，以獲得最佳保護。詳細解決方案請見下方常見問題，為您解決異常！對於這一事件向您帶來的不便，Zyxel Networks 團隊深感抱歉。目前最新版本5.36 Patch 2 及 4.73 Patch 2已經釋出…
如何強化防火牆管理？
當今網絡安全形勢越來越複雜，防火牆像是一道堅實的城牆，保護您的網絡免於惡意攻擊。然而，只有擁有防火牆並不足以保護您的網絡免於攻擊，如何強化防火牆管理，成為了當務之急，以確保您的網絡安全。在這篇文章中，我們分享一些方法和技巧，透過安全性策略的嚴謹設定，讓您的防火牆管理更加高效、安全！如果沒有IPSec VPN及遠端管理的需求，請在安全性策略-策略控制將WAN_to_Device 此條規則直接停用。如果有IPSec VPN及遠端管理的需求，請在安全性策略-策略控制將WAN_to_Device 此條規則務必指定”來源IP”。…
防火牆常見問題導覽
以下為防火牆常見問題教學文章的超連結導覽，提供各位以便於快速找到所需的資料 : 建議使用 ctrl+f 輸入關鍵字，快速找到您需要的資料。障礙排除相關功能客戶反應網路不通，但是到底哪裡不通？防火牆忘記密碼該怎麼辦? NAT 障礙排除教學防火牆登入IP封鎖解除/使用者封鎖設定您的內容過濾服務可能失效的原因是什麼？ —————————————————————————————————————————————————————————— 設定相關功能無線網路相關設定 ATP/USG FLEX 無線控制器 AP 韌體更新教學 Zyxel 防火牆發揮 WiFi 7 的無限潛力 WiFi環境的全方位改進：掌握無線健康度的最佳實踐…
什麼是勒索病毒？以及 Zyxel 如何幫助您抵禦它？
* 勒索病毒是一種惡意程式（惡意軟體），可阻止或限制用戶訪問其系統。 * 加密勒索軟體/檔案是勒索病毒達到攻擊的主要典型方式。 * 這類型的惡意程式迫使其受害者透過某些線上支付方式支付贖金，才開放訪問系統/數據的權限。 * 在某些情況下，受感染的狀況有可能是嵌在電子郵件中的URL，或是在受感染的網站下載技術程式而發生。財務成本包括支付贖金和修復網路設備的成本。如果企業網路被中斷的很嚴重，此攻擊行為可能會導致營收損失和潛在的品牌傷害。由於攻擊造成資訊外洩的行為有可能導致第三方索賠的潛在成本。…
如何加強防火牆資訊安全，預防資安事件的威脅
* 定期變更具有管理員權限帳號 (admin-type) 的密碼我們強烈建議您定期變更所有具有管理員權限帳號的密碼，達到更好的保護。重複輸入兩次新的密碼，點選ok即可完成變更。 * 若您需要透過網際網路或SSL VPN 通道連接防火牆網頁進行設備管理，建議依照以下步驟保護您的設備。 1. 新增信任的外部 IP 位址，或是受信任的國家位址，並於接下來設定的防火牆規則套用此限制 Configuration > Object > Address/GeoIP 2. 新增設備的管理頁面或SSL VPN 服務 Port 的物件（物件 --> 服務），並於接下來設定的防火牆規則套用此限制 (此範例將對管理頁面所使用的 Port 號由預設的 443…
Ports 群組綁定限制
Ports 群組綁定是個實用功能，可讓多個實體網路孔綁成一個交換器概念。不過在USG FLEX 500H 跟 USG FLEX 700H 因硬體設備特性會有無法綁成群組的部分，以下說明。 1)USG FLEX 500H 跟 USG FLEX 700H 的Port 1 跟 Port 2 無法跟其他Port 綁成群組 2)USG FLEX 700H 的Port 13 跟 Port 14 無法跟其他網路孔綁成群組. 以上敘述也可以從Release Note上看到.
USG FLEX H 系列 -- 來源 IP 偽造防護
在最新的 uOS 韌體版本中，Zyxel 增強了網路安全功能，推出了原本稱為 IP-MAC 綁定的來源 IP 偽造防護功能。這項功能現在提供了更廣泛的功能性與更高的靈活性，協助網路管理員防止未經授權的 IP 偽造進入其網路環境。什麼是來源 IP 偽造防護？來源 IP 偽造防護通過驗證客戶端的 IP 和 MAC 地址，確保只有授權的設備能夠存取網路。此功能依據預先定義的策略，檢查 IP 和 MAC 地址是否一致且受信任，並阻止任何不匹配或偽造的地址取得存取權。此功能的應用包括：增強安全性：限制網路存取僅限於已知的設備。阻止惡意行為：防止通過 IP 偽造模仿合法設備的行為。來源 IP 偽造防護的主要組成部分 1. IP 和 MAC…
如何使用IPv6 設定IPSec VPN(USG FLEX/ATP)
架構情境：此篇將示範如何透過兩台USG FLEＸ/ATP 防火牆類似總部與分點，並透過IPv6 建立IPSec VPN 連線。前置動作：先確認您目前操作的防火牆已啟用IPv6的設定，如沒有可以參考底下文章說明未來網路趨勢：在ZYXEL防火牆實現IPv6功能的詳細教學設定步驟：設定Site-to-Site VPN For HQ - Phase 1 路徑: 設定>VPN>IPSec VPN>VPN閘道器 2.設定Site-to-Site VPN For HQ - Phase 2 路徑: 設定>VPN>IPSec VPN>VPN 連線 3.設定Site-to-Site VPN For Branch - Phase 1路徑:…
簡述 USG FLEX H 設備開機流程
開機流程當 USG FLEX H 系列防火牆啟動時，會按照特定順序應用其設定檔案。這個流程有助於識別和排除在開機過程中可能出現的問題。控制台顯示的開機符號透過連接 Console 線，防火牆會使用一系列符號來指示設定應用的進度和狀態： •：開始應用啟動設定（startup-config.conf）。 @ ：開始應用上次良好設定（lastgood.conf）。 *：開始應用系統預設設定（system-default.conf）。 $：設定應用成功。 X：設定應用失敗。儀表板上的開機狀態防火牆的主儀表板提供當前設定狀態的視覺表示。您可以透過懸停在狀態指示器上，查看詳細的狀態描述：啟動成功：設定成功應用。…
USG FLEX H 之 IPSec VPN 偵錯日誌功能
IPSec VPN 是 Zyxel 安全設備的重要功能，提供不同站點之間的安全連接。然而，VPN 問題的排查可能因為一般事件日誌的資訊不足而變得困難。為了解決這個問題，uOS 現在包含了詳細的 IPSec VPN 偵錯日誌功能。主要功能 1. 即時追蹤日誌指令：cmd debug ipsec trace log 功能：提供即時的追蹤日誌，在控制台顯示正在執行的 VPN 流程。使用情境：適合立即排除問題，捕捉事件發生時的日誌。停止方法：使用 Ctrl + C 停止即時追蹤日誌。 2. 保存的偵錯日誌指令：開始記錄：cmd debug ipsec save log 停止記錄：cmd debug ipsec stop log…
[2024年12月技巧與秘訣] 一分鐘搞懂路由型VPN
什麼是路由型VPN？路由型VPN（Route-Based VPN）是一種使用路由和策略來指引和控制不同VPN端點之間流量的VPN架構類型。與僅依賴安全策略的策略型 VPN（Policy-Based VPN）不同，路由型VPN 使用路由表來確定每個數據包的最佳傳輸路徑。在這種架構中，每個 VPN 通道都有一個獨立的虛擬隧道介面（VTI）及其專屬的路由表。這樣的設計使得流量可以根據與其 VTI 相關的路由表進行傳輸，提供更高的靈活性與可擴展性。此外，路由型VPN 支援在相同的端點之間建立多條通道，有助於實現故障轉移和負載平衡。這種 VPN 尤其適用於多條 VPN 隧道連接不同地點且需要細緻且靈活路由策略的複雜網路環境。路由型VPN…
USG Flex H (密技) 什麼是 Fastpath 加速
Fastpath 加速技術旨在提升網路流量的處理效率。透過保留系統資源專門處理網路流量，特別是將 CPU3 和 CPU4 分配給客戶端流量， Fastpath 能夠加速資料封包的處理，降低延遲，並提升整體網路效能。在 Zyxel 的 USG FLEX H 系列防火牆中，結合新一代多核心硬體和 Fastpath 技術，可將性能提升多達三倍，滿足高需求和高速網路的需求。您可以透過執行「show cpu status」指令來檢查 Fastpath 的平均使用情況。
USG Flex H 安全服務的封包檢查流程說明
這篇文章要來介紹一下安全服務是怎麼檢查的。 IP 信譽檢查 (IP Reputation)：首先，系統會檢查封包的來源 IP 是否在已知的惡意 IP 清單中。若在清單中，該封包將被阻擋。安全性策略檢查 (Security Policy)：接著，系統會根據已設定的安全性策略，檢查傳輸層 (Transport Layer) 的連線是否被允許。若允許，則進一步處理。 SSL/TLS 解密：如果封包使用 SSL/TLS 加密，系統會對其進行解密，以便後續檢查。應用層檢查 (Application Layer Inspection)：在解密後，系統會對應用層的資料進行深入檢查，確保其符合安全性要求。…
USG Flex H 策略路由的自動停用與自動恢復
策略路由的自動停用與自動恢復此功能會在網路連結失效時，自動停用相關策略路由；一旦連結恢復，則會自動重新啟用。設定步驟：進入策略路由介面：登入防火牆的管理介面。前往「網路 > 路由 > 策略路由」。建立策略路由：點擊「新增」，設定新的策略路由。設定策略名稱並指定符合的流量條件。啟用進階設定：在「進階設定」中，選擇下一跳類型為「介面」或「閘道」（避免選擇「自動」）。設定健康檢查 (Health Check)：啟用「健康檢查」。選擇方法，例如：「當介面連結中斷時自動停用策略路由」或「ICMP Ping 檢查」。若選擇 ICMP Ping 檢查，需指定目標 IP（例如：8.8.8.8）。保存設定：…
USG FLEX H 有多組固定IP如何設定對外NAT成另一個IP
有時候因需求會需要將不同設備使用不同的Public IP 上網，以下針對此應用情境設定範例如下：新增一個位址物件新增 Policy Route
USG FLEX H 防火牆 NAT 設定教學
NAT 功能簡介由於 IPv4 公共 IP 的不足以及資安考量，一般的網路環境都是使用防火牆 WAN 介面連接電信業者數據機取得公共 IP 位址，其餘網路設備則串接在防火牆 LAN 介面底下，並且取得私有 IP 位址。然而私有 IP 遇到的問題是外網的連線無法直達，因此需要透過 NAT 功能，讓防火牆將連線到 WAN 公共 IP 位址的封包轉送給內部 Server 。若設定完成，無法正常運作，可以參考此篇障礙排除教學 : 以下為各位介紹防火牆 NAT 功能的設定步驟 : 設定情境當使用者連接 Https://1.163.110.104:8443，防火牆會轉換為內部設備 192.168.1.77 的 Https Step1.…
USG FLEX H-DHCP Clinet 清單為何無法顯示設備的主機名稱?
USG FLEX H 升級韌體至uOS 1.30時，要求主機名稱需符合RFC 1123規則，此規則要求如下：主機名稱不能以連字號 (-) 開頭。它們只能包含字母（AZ、az）、數字（0-9）和連字號（-）。最大長度為 255 個字元。故如果之前已有輸入非上述規則的主機名稱，或現有主機的名稱不符合，就會以MAC 的方式呈現。
<進階> USG FLEX H 系列透過 CLI 檢查 CPU 溫度
要在 USG FLEX H 系列設備上透過 CLI 檢查 CPU 溫度，請按照以下步驟操作：進入 CLI：使用 SSH 或控制台連接到設備。輸入命令：在提示符下輸入以下指令並按下 Enter： cmd cpu-temperature 查看結果：設備將顯示目前的 CPU 溫度，例如： usgflex500h> cmd cpu-temperature cpu-temperature info "43 Degrees Celsius" 此方法可用於監控 CPU 溫度，便於進行故障排查或維護。
USG FLEX H Series - 了解橋接介面 (Bridge Interface)
了解橋接介面橋接介面是一種可以在第 2 層（L2）層級連接多個網路埠的功能，使這些埠上的裝置可以像在同一個本地網路內互相通訊。此功能同時支援第 3 層（L3）功能，例如路由至其他網路的能力。橋接介面的使用場景內部區域分割（L2 橋接）場景：兩個裝置（例如客戶端 A 和客戶端 B）需要位於同一子網路內，但必須彼此隔離。解決方案：將兩個埠（例如 Port 6 和 Port 8）設為橋接介面，讓這兩個裝置共享同一個網段。再透過安全性政策來控制或限制它們之間的訪問。結果：提供 L2 的連接性，同時能應用 L3 的流量控制，增強安全性。外部橋接介面（透明網路整合）場景：將防火牆整合到現有網路中，無需更改網路架構。例如，允許…
USG FLEX H 啟動「來源 IP 偽造防護」
Zyxel 的 USG FLEX H 系列防火牆新增了「來源 IP 偽造防護」（Source IP Spoofing Prevention）功能（原稱為 IP-MAC 綁定），旨在提升網路安全性。此功能透過驗證裝置的 IP 和 MAC 位址，確保只有授權的裝置可以存取網路，並有效阻止未經授權的裝置冒充合法設備的行為。主要功能特色： IP 和 MAC 位址綁定確保裝置的 IP 和 MAC 位址一對一匹配，僅允許已註冊的組合存取網路資源。信任 IP（Trusted IP）允許某些裝置僅基於 IP 位址進行信任，而無需驗證 MAC 位址。此功能對於使用靜態 IP 的裝置（如伺服器和印表機）特別有用。支援 DHCP 和靜態 IP…
USG FLEX H 如何透過CLI 在介面新增第二組IP
問題敘述：是否能夠在相同Port 上新增第二組IP? 回覆：目前還無法透過Web GUI新增第二組IP，但可以透過Command Line Interface(CLI)方式來新增，指令如下： edit running vrf main interface ethernet [interface name] ipv4 address [second IP address] commit copy running startup 請注意！使用此方法設定第二組 IP 後，只要透過 Web GUI 調整介面的任何參數設定，第二組 IP 會被清除，需要重新輸入指令來新增第二組 IP。備註：新增的第二組IP不會在介面上顯示，但一樣可以透過CLI…
USG FLEX H 設定排程重啟
uOS 提供定時重啟的功能，允許管理員在允許的特定時段來重啟設備。設定路徑:維護>重新開機/關機功能特點： 1.靈活的排程選項: 管理員可以安排每天、每周、每月重新啟動自動化的重啟可幫助設備維持最佳效能 2.重啟狀態紀錄：執行排程重新啟動後，登入Web GUI可從開機狀態上看到，重新啟動的時間點。 3.設定衝突告警：排程重啟的功能與自動更新是無法同時啟用，故同時啟用時會有告警資訊。管理員必須在自動更新與排程重啟來選擇，以確保設備運作。特殊情況：舉例：設定在每月月底的30或31日安排重啟計畫，系統會智慧調整該時間。如果該月提前結束(例如二月)，設備將於最後一天重新啟動，確保重啟計畫的一致性。
解鎖 SecuPilot：以 AI 強化的 SecuReporter 即時洞察功能
SecuPilot：AI 驅動的 SecuReporter 即時洞察功能（版本 2.5.21） SecuReporter 現已搭載 AI 功能，提供即時洞察、圖表分析及摘要，並支援多語言功能。有了 AI SecuPilot，您可立即取得設備關鍵資訊、安全數據、流量日誌和警報。該功能採用先進的 LLM 模型，支援超過 40 種語言。 SecuPilot 的試用版本現已可在 SecuReporter 平台體驗：即時洞察：即時取得設備關鍵資訊、安全數據、流量日誌和警報，幫您預防潛在威脅。可自訂報告：透過多種圖表選項（如柱狀圖、圓餅圖、趨勢圖等）製作量身打造的專業報告，輕鬆生成摘要。多語言支援：採用先進的 LLM…
USG FLEX H 如何重啟call home 流程
情境：在設定網路時，可能因為設定錯誤或前端設備影響，導致Device 無法如期上雲端報到。後續排除後網路通了，但設備仍未上雲，此時可透過如下方式重啟上雲程序。設定方式：透過ssh登入，並輸入如下指令，設備即開始重啟上雲報到。 usgflex200h> cmd debug nebula callhome restart 如果設備仍未與雲端報到，可透過如下步驟檢查如何確認與Nebula 的狀態維護 > 診斷 > 網路工具如何確認Nebula 狀態是否啟用 ●確認狀態 usgflex200h> edit runnning usgflex200h running config# show config nebula enabled…
如何保護分散式網路基礎設施
後疫情時代，越來越多人轉為在家工作，人們上網和存取企業資源的方式已經永遠改變。隨著網路邊界不再固定於辦公室，為支持更靈活的工作模式，確保分散式網路基礎設施的安全已成為 IT 人員的一大挑戰。提升網路基礎設施安全性的方法是透過安全設定來保護網路設備。管理員應採取以下建議來確保網路基礎設施的安全： 1. 限制遠端管理的安全設定如果可以，請禁用 HTTP、HTTPS、PING、SSH、SSL VPN 和 TELNET 服務對防火牆的存取。 - 在 Web 介面中，前往 Configuration > Object > Service > Service Group，選擇…

歡迎！

看起來你是新來的。登錄或註冊以開始使用。