-
簡述 USG FLEX H 設備開機流程
開機流程 當 USG FLEX H 系列防火牆啟動時,會按照特定順序應用其設定檔案。這個流程有助於識別和排除在開機過程中可能出現的問題。 控制台顯示的開機符號 透過連接 Console 線,防火牆會使用一系列符號來指示設定應用的進度和狀態: •:開始應用啟動設定(startup-config.conf)。 @ :開始應用上次良好設定(lastgood.conf)。 *:開始應用系統預設設定(system-default.conf)。 $:設定應用成功。 X:設定應用失敗。 儀表板上的開機狀態 防火牆的主儀表板提供當前設定狀態的視覺表示。您可以透過懸停在狀態指示器上,查看詳細的狀態描述: 啟動成功:設定成功應用。…
-
USG FLEX H 之 IPSec VPN 偵錯日誌功能
IPSec VPN 是 Zyxel 安全設備的重要功能,提供不同站點之間的安全連接。然而,VPN 問題的排查可能因為一般事件日誌的資訊不足而變得困難。為了解決這個問題,uOS 現在包含了詳細的 IPSec VPN 偵錯日誌功能。 主要功能 1. 即時追蹤日誌 指令:cmd debug ipsec trace log 功能: 提供即時的追蹤日誌,在控制台顯示正在執行的 VPN 流程。 使用情境: 適合立即排除問題,捕捉事件發生時的日誌。 停止方法: 使用 Ctrl + C 停止即時追蹤日誌。 2. 保存的偵錯日誌 指令: 開始記錄:cmd debug ipsec save log 停止記錄:cmd debug ipsec stop log…
-
【2024 年 12 月 技巧與秘訣】一分鐘搞懂路由型VPN
什麼是路由型VPN? 路由型VPN(Route-Based VPN)是一種使用路由和策略來指引和控制不同VPN端點之間流量的VPN架構類型。與僅依賴安全策略的策略型 VPN(Policy-Based VPN)不同,路由型VPN 使用路由表來確定每個數據包的最佳傳輸路徑。在這種架構中,每個 VPN 通道都有一個獨立的虛擬隧道介面(VTI)及其專屬的路由表。這樣的設計使得流量可以根據與其 VTI 相關的路由表進行傳輸,提供更高的靈活性與可擴展性。此外,路由型VPN 支援在相同的端點之間建立多條通道,有助於實現故障轉移和負載平衡。這種 VPN 尤其適用於多條 VPN 隧道連接不同地點且需要細緻且靈活路由策略的複雜網路環境。 路由型VPN…
-
USG Flex H (密技) 什麼是 Fastpath 加速
Fastpath 加速技術旨在提升網路流量的處理效率。 透過保留系統資源專門處理網路流量, 特別是將 CPU3 和 CPU4 分配給客戶端流量, Fastpath 能夠加速資料封包的處理,降低延遲,並提升整體網路效能。 在 Zyxel 的 USG FLEX H 系列防火牆中,結合新一代多核心硬體和 Fastpath 技術,可將性能提升多達三倍,滿足高需求和高速網路的需求。 您可以透過執行「show cpu status」指令來檢查 Fastpath 的平均使用情況。
-
USG Flex H 安全服務的封包檢查流程說明
這篇文章要來介紹一下安全服務是怎麼檢查的。 IP 信譽檢查 (IP Reputation):首先,系統會檢查封包的來源 IP 是否在已知的惡意 IP 清單中。 若在清單中,該封包將被阻擋。 安全性策略檢查 (Security Policy):接著,系統會根據已設定的安全性策略,檢查傳輸層 (Transport Layer) 的連線是否被允許。 若允許,則進一步處理。 SSL/TLS 解密:如果封包使用 SSL/TLS 加密,系統會對其進行解密,以便後續檢查。 應用層檢查 (Application Layer Inspection):在解密後,系統會對應用層的資料進行深入檢查,確保其符合安全性要求。…
-
USG Flex H 策略路由的自動停用與自動恢復
策略路由的自動停用與自動恢復 此功能會在網路連結失效時,自動停用相關策略路由;一旦連結恢復,則會自動重新啟用。 設定步驟: 進入策略路由介面: 登入防火牆的管理介面。 前往 「網路 > 路由 > 策略路由」。 建立策略路由: 點擊 「新增」,設定新的策略路由。 設定策略名稱並指定符合的流量條件。 啟用進階設定: 在 「進階設定」 中,選擇下一跳類型為 「介面」 或 「閘道」(避免選擇「自動」)。 設定健康檢查 (Health Check): 啟用 「健康檢查」。 選擇方法,例如:「當介面連結中斷時自動停用策略路由」 或 「ICMP Ping 檢查」。 若選擇 ICMP Ping 檢查,需指定目標 IP(例如:8.8.8.8)。 保存設定:…
-
USG FLEX H 有多組固定IP如何設定對外NAT成另一個IP
有時候因需求會需要將不同設備使用不同的Public IP 上網,以下針對此應用情境設定範例如下: 新增一個位址物件 新增 Policy Route
-
USG FLEX H 防火牆 NAT 設定教學
NAT 功能簡介 由於 IPv4 公共 IP 的不足以及資安考量,一般的網路環境都是使用防火牆 WAN 介面連接電信業者數據機取得公共 IP 位址,其餘網路設備則串接在防火牆 LAN 介面底下,並且取得私有 IP 位址。 然而私有 IP 遇到的問題是外網的連線無法直達,因此需要透過 NAT 功能,讓防火牆將連線到 WAN 公共 IP 位址的封包轉送給內部 Server 。 若設定完成,無法正常運作,可以參考此篇障礙排除教學 : 以下為各位介紹防火牆 NAT 功能的設定步驟 : 設定情境 當使用者連接 Https://1.163.110.104:8443,防火牆會轉換為內部設備 192.168.1.77 的 Https Step1.…
-
USG FLEX H-DHCP Clinet 清單為何無法顯示設備的主機名稱?
USG FLEX H 升級韌體至uOS 1.30時,要求主機名稱需符合RFC 1123規則,此規則要求如下: 主機名稱不能以連字號 (-) 開頭。 它們只能包含字母(AZ、az)、數字(0-9)和連字號(-)。 最大長度為 255 個字元。 故如果之前已有輸入非上述規則的主機名稱,或現有主機的名稱不符合,就會以MAC 的方式呈現。
-
<進階> USG FLEX H 系列 透過 CLI 檢查 CPU 溫度
要在 USG FLEX H 系列設備上透過 CLI 檢查 CPU 溫度,請按照以下步驟操作: 進入 CLI:使用 SSH 或控制台連接到設備。 輸入命令:在提示符下輸入以下指令並按下 Enter: cmd cpu-temperature 查看結果:設備將顯示目前的 CPU 溫度,例如: usgflex500h> cmd cpu-temperature cpu-temperature info "43 Degrees Celsius" 此方法可用於監控 CPU 溫度,便於進行故障排查或維護。
-
USG FLEX H Series - 了解橋接介面 (Bridge Interface)
了解橋接介面 橋接介面是一種可以在第 2 層(L2)層級連接多個網路埠的功能,使這些埠上的裝置可以像在同一個本地網路內互相通訊。此功能同時支援第 3 層(L3)功能,例如路由至其他網路的能力。 橋接介面的使用場景 內部區域分割(L2 橋接) 場景: 兩個裝置(例如客戶端 A 和客戶端 B)需要位於同一子網路內,但必須彼此隔離。 解決方案: 將兩個埠(例如 Port 6 和 Port 8)設為橋接介面,讓這兩個裝置共享同一個網段。再透過安全性政策來控制或限制它們之間的訪問。 結果: 提供 L2 的連接性,同時能應用 L3 的流量控制,增強安全性。 外部橋接介面(透明網路整合) 場景: 將防火牆整合到現有網路中,無需更改網路架構。例如,允許…
-
USG FLEX H 啟動 「來源 IP 偽造防護」
Zyxel 的 USG FLEX H 系列防火牆新增了「來源 IP 偽造防護」(Source IP Spoofing Prevention)功能(原稱為 IP-MAC 綁定),旨在提升網路安全性。此功能透過驗證裝置的 IP 和 MAC 位址,確保只有授權的裝置可以存取網路,並有效阻止未經授權的裝置冒充合法設備的行為。 主要功能特色: IP 和 MAC 位址綁定 確保裝置的 IP 和 MAC 位址一對一匹配,僅允許已註冊的組合存取網路資源。 信任 IP(Trusted IP) 允許某些裝置僅基於 IP 位址進行信任,而無需驗證 MAC 位址。此功能對於使用靜態 IP 的裝置(如伺服器和印表機)特別有用。 支援 DHCP 和靜態 IP…
-
USG FLEX H 如何透過CLI 在介面新增第二組IP
問題敘述: 是否能夠在相同Port 上新增第二組IP? 回覆: 目前還無法透過Web GUI新增第二組IP,但可以透過Command Line Interface(CLI)方式來新增,指令如下: edit running vrf main interface ethernet [interface name] ipv4 address [second IP address] commit copy running startup 請注意!使用此方法設定第二組 IP 後,只要透過 Web GUI 調整介面的任何參數設定,第二組 IP 會被清除,需要重新輸入指令來新增第二組 IP。 備註: ※在uOS 1.31 版本,已可在GUI 新增第二組IP
-
USG FLEX H 設定排程重啟
uOS 提供定時重啟的功能,允許管理員在允許的特定時段來重啟設備。 設定路徑:維護>重新開機/關機 功能特點: 1.靈活的排程選項: 管理員可以安排每天、每周、每月重新啟動 自動化的重啟可幫助設備維持最佳效能 2.重啟狀態紀錄: 執行排程重新啟動後,登入Web GUI可從開機狀態上看到,重新啟動的時間點。 3.設定衝突告警: 排程重啟的功能與自動更新是無法同時啟用,故同時啟用時會有告警資訊。 管理員必須在自動更新與排程重啟來選擇,以確保設備運作。 特殊情況: 舉例:設定在每月月底的30或31日安排重啟計畫,系統會智慧調整該時間。 如果該月提前結束(例如二月),設備將於最後一天重新啟動,確保重啟計畫的一致性。
-
解鎖 SecuPilot:以 AI 強化的 SecuReporter 即時洞察功能
SecuPilot:AI 驅動的 SecuReporter 即時洞察功能(版本 2.5.21) SecuReporter 現已搭載 AI 功能,提供即時洞察、圖表分析及摘要,並支援多語言功能。有了 AI SecuPilot,您可立即取得設備關鍵資訊、安全數據、流量日誌和警報。該功能採用先進的 LLM 模型,支援超過 40 種語言。 SecuPilot 的試用版本現已可在 SecuReporter 平台體驗: 即時洞察:即時取得設備關鍵資訊、安全數據、流量日誌和警報,幫您預防潛在威脅。 可自訂報告:透過多種圖表選項(如柱狀圖、圓餅圖、趨勢圖等)製作量身打造的專業報告,輕鬆生成摘要。 多語言支援:採用先進的 LLM…
-
USG FLEX H 如何重啟call home 流程
情境: 在設定網路時,可能因為設定錯誤或前端設備影響,導致Device 無法如期上雲端報到。 後續排除後網路通了,但設備仍未上雲,此時可透過如下方式重啟上雲程序。 設定方式: 透過ssh登入,並輸入如下指令,設備即開始重啟上雲報到。 usgflex200h> cmd debug nebula callhome restart 如果設備仍未與雲端報到,可透過如下步驟檢查 如何確認與Nebula 的狀態 維護 > 診斷 > 網路工具 如何確認Nebula 狀態是否啟用 ●確認狀態 usgflex200h> edit runnning usgflex200h running config# show config nebula enabled…
-
如何保護分散式網路基礎設施
後疫情時代,越來越多人轉為在家工作,人們上網和存取企業資源的方式已經永遠改變。隨著網路邊界不再固定於辦公室,為支持更靈活的工作模式,確保分散式網路基礎設施的安全已成為 IT 人員的一大挑戰。 提升網路基礎設施安全性的方法是透過安全設定來保護網路設備。管理員應採取以下建議來確保網路基礎設施的安全: 1. 限制遠端管理的安全設定 如果可以,請禁用 HTTP、HTTPS、PING、SSH、SSL VPN 和 TELNET 服務對防火牆的存取。 - 在 Web 介面中,前往 Configuration > Object > Service > Service Group,選擇…
-
USG FLEX H 防火牆策略路由設定教學
前言 在現代網路架構中,企業對於流量管理的需求越來越高。隨著網路應用多樣化以及資源的分布,如何有效地控制與分配不同類型的流量成為一個關鍵課題。防火牆的策略路由功能提供了靈活的解決方案,讓管理者可以根據來源、目的地、應用等條件精細地分配流量到不同路徑,以達到流量分流、資源最佳化或滿足特定需求的目標。 本篇文章將向您介紹如何調整 USG FLEX H 系列防火牆的路由。最常見的使用情境範例,例如 SNAT、透過特定 WAN 介面路由傳輸以及透過 VPN 通道路由傳輸,助您實現流量控制,提升網路效能與安全性。 備註 : 本篇文章截圖畫面使用 USG FLEX 500H V1.30(ABZH.0) 版本 應用情境 以下向各位介紹一些常見場景的範例…
-
USG FLEX H 防火牆管理員帳號設定教學
前言 在網路安全日益重要的今天,正確配置管理員帳號是確保網路安全的首要步驟。USG FLEX H 系列防火牆提供了多樣的管理功能,適合企業和組織進行安全管理。本篇教學將指導您如何設定管理員帳號、密碼政策、帳號權限等配置,確保系統僅授權人員能夠存取。希望透過這篇文章,能幫助您快速上手,並加強您的網路安全防護措施。 備註 : 本篇文章使用 USG FLEX 500H V1.30(ABZH.0) 作為截圖畫面 新增帳號/權限 首先前往【使用者語認證 > 使用者/群組 > 使用者】頁面即可查詢當前管理帳號,以及編輯管理帳號。 新增帳號輸入「使用者名稱」、「密碼」,選擇「使用者類型」,點選「套用」即可完成。…
-
USG FLEX H 防火牆如何使用 Gmail 電子郵件發送設備日報表?
前言 在日常的網路管理中,定期接收防火牆的日報表和事件日誌,能讓管理者隨時掌握系統健康狀況並快速處理潛在風險。USG FLEX H 防火牆支援使用 Gmail 作為 SMTP 伺服器來發送這些通知,讓管理者能夠簡化監控流程並提高管理效率。本篇教學將詳細說明如何設定 USG FLEX H 防火牆,透過 Gmail 發送設備的日報表和事件日誌。 備註 : 本篇文章使用 USG FLEX 500H V1.30(ABZH.0) 作為截圖畫面 設定步驟 請依照以下設定步驟,啟用 Gmail SMTP 步驟1 - 進入 Google 帳戶設定頁面 於 Google 瀏覽器 Chrome 登入您的 google 帳號後,點選大頭貼進入「管理你的…