-
USG FLEX H 如何重啟call home 流程
情境: 在設定網路時,可能因為設定錯誤或前端設備影響,導致Device 無法如期上雲端報到。 後續排除後網路通了,但設備仍未上雲,此時可透過如下方式重啟上雲程序。 設定方式: 透過ssh登入,並輸入如下指令,設備即開始重啟上雲報到。 usgflex200h> cmd debug nebula callhome restart 如果設備仍未與雲端報到,可透過如下步驟檢查 如何確認與Nebula 的狀態 維護 > 診斷 > 網路工具 如何確認Nebula 狀態是否啟用 ●確認狀態 usgflex200h> edit runnning usgflex200h running config# show config nebula enabled…
-
如何保護分散式網路基礎設施
後疫情時代,越來越多人轉為在家工作,人們上網和存取企業資源的方式已經永遠改變。隨著網路邊界不再固定於辦公室,為支持更靈活的工作模式,確保分散式網路基礎設施的安全已成為 IT 人員的一大挑戰。 提升網路基礎設施安全性的方法是透過安全設定來保護網路設備。管理員應採取以下建議來確保網路基礎設施的安全: 1. 限制遠端管理的安全設定 如果可以,請禁用 HTTP、HTTPS、PING、SSH、SSL VPN 和 TELNET 服務對防火牆的存取。 - 在 Web 介面中,前往 Configuration > Object > Service > Service Group,選擇…
-
USG FLEX H 防火牆策略路由設定教學
前言 在現代網路架構中,企業對於流量管理的需求越來越高。隨著網路應用多樣化以及資源的分布,如何有效地控制與分配不同類型的流量成為一個關鍵課題。防火牆的策略路由功能提供了靈活的解決方案,讓管理者可以根據來源、目的地、應用等條件精細地分配流量到不同路徑,以達到流量分流、資源最佳化或滿足特定需求的目標。 本篇文章將向您介紹如何調整 USG FLEX H 系列防火牆的路由。最常見的使用情境範例,例如 SNAT、透過特定 WAN 介面路由傳輸以及透過 VPN 通道路由傳輸,助您實現流量控制,提升網路效能與安全性。 備註 : 本篇文章截圖畫面使用 USG FLEX 500H V1.30(ABZH.0) 版本 應用情境 以下向各位介紹一些常見場景的範例…
-
USG FLEX H 防火牆管理員帳號設定教學
前言 在網路安全日益重要的今天,正確配置管理員帳號是確保網路安全的首要步驟。USG FLEX H 系列防火牆提供了多樣的管理功能,適合企業和組織進行安全管理。本篇教學將指導您如何設定管理員帳號、密碼政策、帳號權限等配置,確保系統僅授權人員能夠存取。希望透過這篇文章,能幫助您快速上手,並加強您的網路安全防護措施。 備註 : 本篇文章使用 USG FLEX 500H V1.30(ABZH.0) 作為截圖畫面 新增帳號/權限 首先前往【使用者語認證 > 使用者/群組 > 使用者】�頁面即可查詢當前管理帳號,以及編輯管理帳號。 新增帳號輸入「使用者名稱」、「密碼」,選擇「使用者類型」,點選「套用」即可完成。…
-
USG FLEX H 防火牆如何使用 Gmail 電子郵件發送設備日報表?
前言 在日常的網路管理中,定期接收防火牆的日報表和事件日誌,能讓管理者隨時掌握系統健康狀況並快速處理潛在風險。USG FLEX H 防火牆支援使用 Gmail 作為 SMTP 伺服器來發送這些通知,讓管理者能夠簡化監控流程並提高管理效率。本篇教學將詳細說明如何設定 USG FLEX H 防火牆,透過 Gmail 發送設備的日報表和事件日誌。 備註 : 本篇文章使用 USG FLEX 500H V1.30(ABZH.0) 作為截圖畫面 設定步驟 請依照以下設定步驟,啟用 Gmail SMTP 步驟1 - 進入 Google 帳戶設定頁面 於 Google 瀏覽器 Chrome 登入您的 google 帳號後,點選大頭貼進入「管理你的…
-
如何將 USG FLEX H 防火牆設定為中文介面
前言 USG FLEX H 防火牆介面支援多國語系,為了讓您操作更加直覺,我們將為您介紹如何將介面設定為繁體中文。身為中文使用者,將介面切換為熟悉的語言,可以更輕鬆地進行各種設定。 備註 : 本篇文章使用 USG FLEX 500H V1.30(ABZH.0) 作為截圖畫面 設定教學 點選網頁管理介面右上角的「地球圖示」即可選擇「繁體中文」,點選即可完成切換。� 設定完成後,系統將立即套用變更,您會發現介面已經切換為繁體中文了。
-
如何設定 USG FLEX H 防火牆 Syslog Server(日誌管理伺服器)
前言 透過防火牆事件日誌可以查詢某個時間點發生了甚麼問題,這對於網管人員來說是非常重要的。防火牆依照型號大小,具有不同的事件日誌儲存比數,最小型號的防火牆只會有 256 筆儲存空間,新的日誌將複寫最舊的紀錄。若只依賴防火牆儲存空間,將造成無法追蹤異常紀錄的狀況。 因此本篇文章向各位說明,如何設定防火牆 Syslog Server,將事件日誌導到外部儲存空間,保留數個月、甚至數年的紀錄,以備查詢。 備註 : 本篇文章使用 USG FLEX 500H V1.30(ABZH.0) 作為截圖畫面 設定步驟 以下將說明防火牆如何設定 Syslog Server,以及使用 Visual Syslog Server 作為範例。 備註 : Visual…
-
ATP/USG FLEX 防火牆 VLAN 介面設定教學
前言 在一個網路環境中,通常會有許多不同類別的網路設備。為了實現隔離,網路管理人員通常會將這些設備劃分到不同的網段。為了達成這個需求,最常使用的功能就是 VLAN。透過 VLAN,可以讓同一條網路線傳輸來自不同網段的流量,同時實現彼此的隔離。 每個 VLAN 需要有專屬的閘道,也就是防火牆的 VLAN 介面。本篇文章將指導您如何在 ZYXEL 防火牆上新增 VLAN 介面。 設定教學 如下圖範例,防火牆規劃 LAN1、VLAN10 和 VLAN20 介面,讓相應的網路設備可以取得 IP 並進行路由傳輸。 若防火牆啟用了 VLAN 介面,封包經過的交換器也需要配置相應的 VLAN 設定。關於交換器的 VLAN 設定,您可以參考這篇文章:…
-
USG FLEX H 系列防火牆忘記密碼該怎麼辦?
前言 本篇文章透過完整的操作步驟,向您說明,當防火牆密碼遺失,該如何處理,才能保留原有設定檔,成功再次登入防火牆。 以下提供兩種方法,請您依照您的環境選擇操作方式 : 方法1 : 透過 Console 重設管理員密碼 方法2 : 透過備份設定檔還原管理員密碼 若您手邊沒有 Console 線材,僅能選擇此方法。 —————————————————————————————————————————————————————————— 方法1 : 透過 Console 重設管理員密碼 透過 Console 介面可以只重置 admin 管理員的密碼,而無需重置整個裝置。操作步驟如下: 注意:僅能透過 Console 介面操作,若您尚未熟悉…
-
ATP/USG FLEX 無線控制器 AP 韌體更新教學
前言 當 AP 由防火牆無線控制器管理時,韌體更新將統一由控制器派送。本篇文章將說明如何進行 AP 韌體更新操作。透過控制器統一派送韌體更新,不僅確保安全性,還大幅簡化了管理流程。 操作步驟 請按照以下步驟進行操作,以完成 AP 韌體更新。 步驟1 - 控制器下載 AP 最新版韌體 請前往【設定 > 無線 > AP 管理 > 韌體】頁面,點選「檢查」「更新韌體」,確認運行韌體與可用韌體相同後,即可前往下一步驟進行 AP 韌體升級。 若韌體更新失敗,表示防火牆無法連接外網,請檢查 WAN 介面設定是否正確。 若您仍尚未熟悉相關操作,請參考此教學文章 : WAN 介面設定教學 步驟2 - 更新 AP 韌體 請前往【設定 > 無線 > AP…
-
使用 Nebula 18.20 解鎖 USG FLEX H 系列防火牆潛力
Zyxel 的 Nebula 雲端管理平台持續提供友善的集中網路管理方式,讓管理變得更便利,同時提升控制、可視性和安全性。隨著最新版本 Nebula 18.2 的推出,USG FLEX H 系列帶來更多雲端原生功能,這些功能簡化網路管理並加強安全性,幫助客戶在快速變化的數位環境中保持領先。 雲端原生功能減少管理負擔 USG FLEX H 系列現已引入關鍵的雲端原生功能,幫助用戶減少網路管理的複雜性,還透過先進的安全防護功能帶給用戶更多安心感。 安全設定同步 此功能允許客戶在所有 Nebula 管理的設備上強制執行一致的安全策略。透過同步 UTM…
-
如何直接修改VPN腳本檔?
由於最近 iOS&mac系統升級,改變了VPN 用戶端的 VPN 連線參數 但由於ATP/USG FLEX系列不像,NEBULA及USG FLEX H系列可以直接匯出新的VPN腳本檔 必須依靠精靈模式將預設腳本匯出後,再直接進行修改。 此篇文章教學如何直接修改腳本檔,順利讓所有設備套用。 下載VPN自動設定檔 完成設定精靈中的所有步驟後,點擊左側 Non-SecuExtender VPN Client 依據設備操作系統,選擇下載安裝腳本。 修改iOS/Mac OS Mobileconfig檔 已文字檔開啟編輯,修改成紅框參數 第 1 階段加密和身份驗證設定配置為 AES256/SHA256 DH19 ,將第 2 階段加密和身份驗證設定配置為…
-
IKEv2 VPN 憑證過期處理:完整步驟說明
前言 由於安全性原因,IKEv2 VPN 精靈模式產生的憑證會在 2 年後到期。當憑證過期後,使用者將無法再連接 VPN。本篇文章將說明遇到此情況時,如何重新產生憑證。 設定步驟 若操作順序錯誤,將無法成功執行,因此請您依照以下設定步驟操作。 步驟1 - 刪除 VPN 設定配置 請前往【設定 > VPN > IPSec VPN > 設定配置】,選擇 IKEv2 VPN 的規則(精靈模式產生的名稱為 RemoteAccess_Wiz),點選移除。 步驟2 - 刪除 VPN 連線 請前往【設定 > VPN > IPSec VPN > VPN 連線】,選擇 IKEv2 VPN 的規則(精靈模式產生的名稱為…
-
蘋果更新 iOS18 & macOS Sonoma,無法連線VPN問題及解決方法
問題: 為什麼更新到 iOS 18 後無法建立 IKEv2 VPN 連線?我該如何解決這個問題? 答: iOS 原生 VPN 用戶端的 VPN 連線參數已更新,請調整設定以確保遠端 VPN 能正常運作。 USG Flex/ATP 防火牆型號設定: 請導覽至 設定 > VPN > IPsec > VPN 閘道器 > 新增或修改 VPN 第 1 階段設定。(請先按顯示進階設定) 請將第一階段加密和驗證設定配置為 AES256/SHA256 DH2/DH14/DH19。 請導覽至 設定 > VPN > IPsec > VPN 連線 > 新增或修改 VPN 第 2 階段設定(顯示進階設定) 請將第 2 階段加密和身份驗證設定配置為…
-
Zyxel USG FLEX 和 ATP 系列 – 升級您的設備及所有憑證以避免駭客攻擊
前言 Zyxel 團隊已追蹤到威脅行為者針對先前存在漏洞的 Zyxel 安全設備進行攻擊,且管理員密碼未被及時更改。我們建議所有用戶更新所有管理員帳號以確保最佳保護。 根據我們的調查,威脅行為者利用之前漏洞中竊取的有效憑證,由於這些憑證未被更改,攻擊者利用臨時用戶帳號(如「SUPPOR87」、「SUPPOR817」或「vpn」)建立 SSL VPN 通道,進一步修改安全策略,取得設備和網路的存取權限。 受影響的產品 ATP 和 USG FLEX 系列設備在使用本地管理模式(On-Premise Mode)時,如果過去曾啟用遠端管理或 SSL VPN,且管理員帳號的憑證未更新或未啟用雙因素驗證(2FA),則會受到影響。 使用 Nebula…
-
資安路由器-規格表
Category SCR 50AXE USG LITE 60AX Rule / Policy Limits VLAN 4 4 Firewall Rules 15 15 Virtual Server 10 10 Application Profile 5 5 Application Bandwidth Control None 10 Application Bandwidth Control by Usage None 30 Content Filter Profile 5 5 Custom Allow Domain 50 50 Custom Block Domain 50 50 Site-to-Site VPN 3 3 DNS…
-
[ATP/USG FLEX]防火牆透過 AD 伺服器實現 IKEv2 VPN 用戶認證
前言 本篇文章將說明如何讓防火牆讀取 AD 伺服器,並透過 AD 伺服器的資料庫進行 IKEv2 VPN 用戶認證。如果您對 IKEv2 的設定尚不熟悉,可以先參考此文章,完成 USG FLEX/ATP 系列防火牆的 IKEv2 VPN 遠端存取設定教學。 設定步驟 在 IKEv2 用戶認證中,將使用 MSCHAPv2 來與 AD 伺服器進行驗證。因此,您需要在您的防火牆上配置 MSCHAPv2。(在本測試場景中,usg.com 是 AD 網域名稱) 步驟1 - 修改防火牆主機名稱並新增網域名稱 請前往【設定 > 系統 > 主機名稱】,編輯系統名稱、網域名稱 步驟2 - 編輯或新增 AD Server 啟用 MSCHAP 功能 前往【設定…
-
收到中華電信告警 DNS Open Resolver 弱點該怎麼辦?
何謂 DNS Open Resolver ? DNS Open Resolver 是指一種 DNS 伺服器設定,允許它向任何請求者回應DNS查詢,而不限制只回應特定範圍內的請求。這意味著任何人都可以使用這樣的DNS伺服器來查詢DNS資訊,無需身份驗證或限制。 一般來說,DNS服務應該只允許內網使用,而不允許外部網路連接到防火牆的DNS服務。但若是管理員設定錯誤,則有可能導致外網能存取防火牆 DNS 服務。 中華電信會協助客戶進行弱點掃描,檢查他們所分配的 IP 是否存在 DNS Open Resolver 漏洞。如果發現此類問題,將發出告警提醒客戶進行修復。 本文將提供步驟教您如何排除 DNS Open Resolver 的風險。…
-
【2024年10月通知】透過最新的 ZLD5.39 更新並提升您的網路
ZLD5.39 讓您有更強大的流量控制,並且以新的 CLI 指令來傳送帶有數據的 TCP SYN 封包、享受更快速的過濾,以及修復 Chrome TLS 1.3 內容過濾器的錯誤。立即更新,提升安全性。 Zyxel 致力於持續為您的設備提供更新,確保重要的維護資訊。本次最新版本還提升了 Zyxel 防火牆產品的全方位功能,包括: ➡ 表一:功能提升 項目 描述 功能優化 建立CLI 來啟用「傳送帶有數據的 TCP SYN 封包」。 優化 URL 威脅過濾器/內容過濾器的掃描流程,以避免不必要的檢查。 ➡ 表二:解決的問題 漏洞 ID 描述 240401350 240401693 240501058 240701813…
-
如何在 SecuReporter 中顯示主機名稱及MAC Address
在檢查 SecuReporter Dashboard Top N 或是 Analysis 您可能會發現 Hostname / MAC Address沒有正確的顯示相關訊息 您需要啟用“Device Insight”才能在 SecuReporter 顯示 Hostname / MAC Address資訊 登入防火牆後,到 設定 > 物件 > Device Insight 勾選 新增一個組合,依照類別等進行設定 以上完成後防火牆會開始收集資料,從 監控 > 網路狀態 > Device Insight 可以檢查收集的訊息 防火牆收集資料後上傳 SecuReporter 會需要一點時間 登入 SecuReporter 就會看到收集到的資訊及統計資料…
