防火牆常見問題 - Zyxel Community

簡述 USG FLEX H 設備開機流程
開機流程當 USG FLEX H 系列防火牆啟動時，會按照特定順序應用其設定檔案。這個流程有助於識別和排除在開機過程中可能出現的問題。控制台顯示的開機符號透過連接 Console 線，防火牆會使用一系列符號來指示設定應用的進度和狀態： •：開始應用啟動設定（startup-config.conf）。 @ ：開始應用上次良好設定（lastgood.conf）。 *：開始應用系統預設設定（system-default.conf）。 $：設定應用成功。 X：設定應用失敗。儀表板上的開機狀態防火牆的主儀表板提供當前設定狀態的視覺表示。您可以透過懸停在狀態指示器上，查看詳細的狀態描述：啟動成功：設定成功應用。…
USG FLEX H 之 IPSec VPN 偵錯日誌功能
IPSec VPN 是 Zyxel 安全設備的重要功能，提供不同站點之間的安全連接。然而，VPN 問題的排查可能因為一般事件日誌的資訊不足而變得困難。為了解決這個問題，uOS 現在包含了詳細的 IPSec VPN 偵錯日誌功能。主要功能 1. 即時追蹤日誌指令：cmd debug ipsec trace log 功能：提供即時的追蹤日誌，在控制台顯示正在執行的 VPN 流程。使用情境：適合立即排除問題，捕捉事件發生時的日誌。停止方法：使用 Ctrl + C 停止即時追蹤日誌。 2. 保存的偵錯日誌指令：開始記錄：cmd debug ipsec save log 停止記錄：cmd debug ipsec stop log…
【2024 年 12 月技巧與秘訣】一分鐘搞懂路由型VPN
什麼是路由型VPN？路由型VPN（Route-Based VPN）是一種使用路由和策略來指引和控制不同VPN端點之間流量的VPN架構類型。與僅依賴安全策略的策略型 VPN（Policy-Based VPN）不同，路由型VPN 使用路由表來確定每個數據包的最佳傳輸路徑。在這種架構中，每個 VPN 通道都有一個獨立的虛擬隧道介面（VTI）及其專屬的路由表。這樣的設計使得流量可以根據與其 VTI 相關的路由表進行傳輸，提供更高的靈活性與可擴展性。此外，路由型VPN 支援在相同的端點之間建立多條通道，有助於實現故障轉移和負載平衡。這種 VPN 尤其適用於多條 VPN 隧道連接不同地點且需要細緻且靈活路由策略的複雜網路環境。路由型VPN…
USG Flex H (密技) 什麼是 Fastpath 加速
Fastpath 加速技術旨在提升網路流量的處理效率。透過保留系統資源專門處理網路流量，特別是將 CPU3 和 CPU4 分配給客戶端流量， Fastpath 能夠加速資料封包的處理，降低延遲，並提升整體網路效能。在 Zyxel 的 USG FLEX H 系列防火牆中，結合新一代多核心硬體和 Fastpath 技術，可將性能提升多達三倍，滿足高需求和高速網路的需求。您可以透過執行「show cpu status」指令來檢查 Fastpath 的平均使用情況。
USG Flex H 安全服務的封包檢查流程說明
這篇文章要來介紹一下安全服務是怎麼檢查的。 IP 信譽檢查 (IP Reputation)：首先，系統會檢查封包的來源 IP 是否在已知的惡意 IP 清單中。若在清單中，該封包將被阻擋。安全性策略檢查 (Security Policy)：接著，系統會根據已設定的安全性策略，檢查傳輸層 (Transport Layer) 的連線是否被允許。若允許，則進一步處理。 SSL/TLS 解密：如果封包使用 SSL/TLS 加密，系統會對其進行解密，以便後續檢查。應用層檢查 (Application Layer Inspection)：在解密後，系統會對應用層的資料進行深入檢查，確保其符合安全性要求。…
USG Flex H 策略路由的自動停用與自動恢復
策略路由的自動停用與自動恢復此功能會在網路連結失效時，自動停用相關策略路由；一旦連結恢復，則會自動重新啟用。設定步驟：進入策略路由介面：登入防火牆的管理介面。前往「網路 > 路由 > 策略路由」。建立策略路由：點擊「新增」，設定新的策略路由。設定策略名稱並指定符合的流量條件。啟用進階設定：在「進階設定」中，選擇下一跳類型為「介面」或「閘道」（避免選擇「自動」）。設定健康檢查 (Health Check)：啟用「健康檢查」。選擇方法，例如：「當介面連結中斷時自動停用策略路由」或「ICMP Ping 檢查」。若選擇 ICMP Ping 檢查，需指定目標 IP（例如：8.8.8.8）。保存設定：…
USG FLEX H 有多組固定IP如何設定對外NAT成另一個IP
有時候因需求會需要將不同設備使用不同的Public IP 上網，以下針對此應用情境設定範例如下：新增一個位址物件新增 Policy Route
USG FLEX H 防火牆 NAT 設定教學
NAT 功能簡介由於 IPv4 公共 IP 的不足以及資安考量，一般的網路環境都是使用防火牆 WAN 介面連接電信業者數據機取得公共 IP 位址，其餘網路設備則串接在防火牆 LAN 介面底下，並且取得私有 IP 位址。然而私有 IP 遇到的問題是外網的連線無法直達，因此需要透過 NAT 功能，讓防火牆將連線到 WAN 公共 IP 位址的封包轉送給內部 Server 。若設定完成，無法正常運作，可以參考此篇障礙排除教學 : 以下為各位介紹防火牆 NAT 功能的設定步驟 : 設定情境當使用者連接 Https://1.163.110.104:8443，防火牆會轉換為內部設備 192.168.1.77 的 Https Step1.…
USG FLEX H-DHCP Clinet 清單為何無法顯示設備的主機名稱?
USG FLEX H 升級韌體至uOS 1.30時，要求主機名稱需符合RFC 1123規則，此規則要求如下：主機名稱不能以連字號 (-) 開頭。它們只能包含字母（AZ、az）、數字（0-9）和連字號（-）。最大長度為 255 個字元。故如果之前已有輸入非上述規則的主機名稱，或現有主機的名稱不符合，就會以MAC 的方式呈現。
<進階> USG FLEX H 系列透過 CLI 檢查 CPU 溫度
要在 USG FLEX H 系列設備上透過 CLI 檢查 CPU 溫度，請按照以下步驟操作：進入 CLI：使用 SSH 或控制台連接到設備。輸入命令：在提示符下輸入以下指令並按下 Enter： cmd cpu-temperature 查看結果：設備將顯示目前的 CPU 溫度，例如： usgflex500h> cmd cpu-temperature cpu-temperature info "43 Degrees Celsius" 此方法可用於監控 CPU 溫度，便於進行故障排查或維護。
USG FLEX H Series - 了解橋接介面 (Bridge Interface)
了解橋接介面橋接介面是一種可以在第 2 層（L2）層級連接多個網路埠的功能，使這些埠上的裝置可以像在同一個本地網路內互相通訊。此功能同時支援第 3 層（L3）功能，例如路由至其他網路的能力。橋接介面的使用場景內部區域分割（L2 橋接）場景：兩個裝置（例如客戶端 A 和客戶端 B）需要位於同一子網路內，但必須彼此隔離。解決方案：將兩個埠（例如 Port 6 和 Port 8）設為橋接介面，讓這兩個裝置共享同一個網段。再透過安全性政策來控制或限制它們之間的訪問。結果：提供 L2 的連接性，同時能應用 L3 的流量控制，增強安全性。外部橋接介面（透明網路整合）場景：將防火牆整合到現有網路中，無需更改網路架構。例如，允許…
USG FLEX H 啟動「來源 IP 偽造防護」
Zyxel 的 USG FLEX H 系列防火牆新增了「來源 IP 偽造防護」（Source IP Spoofing Prevention）功能（原稱為 IP-MAC 綁定），旨在提升網路安全性。此功能透過驗證裝置的 IP 和 MAC 位址，確保只有授權的裝置可以存取網路，並有效阻止未經授權的裝置冒充合法設備的行為。主要功能特色： IP 和 MAC 位址綁定確保裝置的 IP 和 MAC 位址一對一匹配，僅允許已註冊的組合存取網路資源。信任 IP（Trusted IP）允許某些裝置僅基於 IP 位址進行信任，而無需驗證 MAC 位址。此功能對於使用靜態 IP 的裝置（如伺服器和印表機）特別有用。支援 DHCP 和靜態 IP…
USG FLEX H 如何透過CLI 在介面新增第二組IP
問題敘述：是否能夠在相同Port 上新增第二組IP? 回覆：目前還無法透過Web GUI新增第二組IP，但可以透過Command Line Interface(CLI)方式來新增，指令如下： edit running vrf main interface ethernet [interface name] ipv4 address [second IP address] commit copy running startup 請注意！使用此方法設定第二組 IP 後，只要透過 Web GUI 調整介面的任何參數設定，第二組 IP 會被清除，需要重新輸入指令來新增第二組 IP。備註： ※在uOS 1.31 版本,已可在GUI 新增第二組IP
USG FLEX H 設定排程重啟
uOS 提供定時重啟的功能，允許管理員在允許的特定時段來重啟設備。設定路徑:維護>重新開機/關機功能特點： 1.靈活的排程選項: 管理員可以安排每天、每周、每月重新啟動自動化的重啟可幫助設備維持最佳效能 2.重啟狀態紀錄：執行排程重新啟動後，登入Web GUI可從開機狀態上看到，重新啟動的時間點。 3.設定衝突告警：排程重啟的功能與自動更新是無法同時啟用，故同時啟用時會有告警資訊。管理員必須在自動更新與排程重啟來選擇，以確保設備運作。特殊情況：舉例：設定在每月月底的30或31日安排重啟計畫，系統會智慧調整該時間。如果該月提前結束(例如二月)，設備將於最後一天重新啟動，確保重啟計畫的一致性。
解鎖 SecuPilot：以 AI 強化的 SecuReporter 即時洞察功能
SecuPilot：AI 驅動的 SecuReporter 即時洞察功能（版本 2.5.21） SecuReporter 現已搭載 AI 功能，提供即時洞察、圖表分析及摘要，並支援多語言功能。有了 AI SecuPilot，您可立即取得設備關鍵資訊、安全數據、流量日誌和警報。該功能採用先進的 LLM 模型，支援超過 40 種語言。 SecuPilot 的試用版本現已可在 SecuReporter 平台體驗：即時洞察：即時取得設備關鍵資訊、安全數據、流量日誌和警報，幫您預防潛在威脅。可自訂報告：透過多種圖表選項（如柱狀圖、圓餅圖、趨勢圖等）製作量身打造的專業報告，輕鬆生成摘要。多語言支援：採用先進的 LLM…
USG FLEX H 如何重啟call home 流程
情境：在設定網路時，可能因為設定錯誤或前端設備影響，導致Device 無法如期上雲端報到。後續排除後網路通了，但設備仍未上雲，此時可透過如下方式重啟上雲程序。設定方式：透過ssh登入，並輸入如下指令，設備即開始重啟上雲報到。 usgflex200h> cmd debug nebula callhome restart 如果設備仍未與雲端報到，可透過如下步驟檢查如何確認與Nebula 的狀態維護 > 診斷 > 網路工具如何確認Nebula 狀態是否啟用 ●確認狀態 usgflex200h> edit runnning usgflex200h running config# show config nebula enabled…
如何保護分散式網路基礎設施
後疫情時代，越來越多人轉為在家工作，人們上網和存取企業資源的方式已經永遠改變。隨著網路邊界不再固定於辦公室，為支持更靈活的工作模式，確保分散式網路基礎設施的安全已成為 IT 人員的一大挑戰。提升網路基礎設施安全性的方法是透過安全設定來保護網路設備。管理員應採取以下建議來確保網路基礎設施的安全： 1. 限制遠端管理的安全設定如果可以，請禁用 HTTP、HTTPS、PING、SSH、SSL VPN 和 TELNET 服務對防火牆的存取。 - 在 Web 介面中，前往 Configuration > Object > Service > Service Group，選擇…
USG FLEX H 防火牆策略路由設定教學
前言在現代網路架構中，企業對於流量管理的需求越來越高。隨著網路應用多樣化以及資源的分布，如何有效地控制與分配不同類型的流量成為一個關鍵課題。防火牆的策略路由功能提供了靈活的解決方案，讓管理者可以根據來源、目的地、應用等條件精細地分配流量到不同路徑，以達到流量分流、資源最佳化或滿足特定需求的目標。本篇文章將向您介紹如何調整 USG FLEX H 系列防火牆的路由。最常見的使用情境範例，例如 SNAT、透過特定 WAN 介面路由傳輸以及透過 VPN 通道路由傳輸，助您實現流量控制，提升網路效能與安全性。備註 : 本篇文章截圖畫面使用 USG FLEX 500H V1.30(ABZH.0) 版本應用情境以下向各位介紹一些常見場景的範例…
USG FLEX H 防火牆管理員帳號設定教學
前言在網路安全日益重要的今天，正確配置管理員帳號是確保網路安全的首要步驟。USG FLEX H 系列防火牆提供了多樣的管理功能，適合企業和組織進行安全管理。本篇教學將指導您如何設定管理員帳號、密碼政策、帳號權限等配置，確保系統僅授權人員能夠存取。希望透過這篇文章，能幫助您快速上手，並加強您的網路安全防護措施。備註 : 本篇文章使用 USG FLEX 500H V1.30(ABZH.0) 作為截圖畫面新增帳號/權限首先前往【使用者語認證 > 使用者/群組 > 使用者】頁面即可查詢當前管理帳號，以及編輯管理帳號。新增帳號輸入「使用者名稱」、「密碼」，選擇「使用者類型」，點選「套用」即可完成。…
USG FLEX H 防火牆如何使用 Gmail 電子郵件發送設備日報表？
前言在日常的網路管理中，定期接收防火牆的日報表和事件日誌，能讓管理者隨時掌握系統健康狀況並快速處理潛在風險。USG FLEX H 防火牆支援使用 Gmail 作為 SMTP 伺服器來發送這些通知，讓管理者能夠簡化監控流程並提高管理效率。本篇教學將詳細說明如何設定 USG FLEX H 防火牆，透過 Gmail 發送設備的日報表和事件日誌。備註 : 本篇文章使用 USG FLEX 500H V1.30(ABZH.0) 作為截圖畫面設定步驟請依照以下設定步驟，啟用 Gmail SMTP 步驟1 - 進入 Google 帳戶設定頁面於 Google 瀏覽器 Chrome 登入您的 google 帳號後，點選大頭貼進入「管理你的…

歡迎！

看起來你是新來的。登錄或註冊以開始使用。