-
Zyxel USG FLEX 和 ATP 系列 – 升級您的設備及所有憑證以避免駭客攻擊
前言 Zyxel 團隊已追蹤到威脅行為者針對先前存在漏洞的 Zyxel 安全設備進行攻擊,且管理員密碼未被及時更改。我們建議所有用戶更新所有管理員帳號以確保最佳保護。 根據我們的調查,威脅行為者利用之前漏洞中竊取的有效憑證,由於這些憑證未被更改,攻擊者利用臨時用戶帳號(如「SUPPOR87」、「SUPPOR817」或「vpn」)建立 SSL VPN 通道,進一步修改安全策略,取得設備和網路的存取權限。 受影響的產品 ATP 和 USG FLEX 系列設備在使用本地管理模式(On-Premise Mode)時,如果過去曾啟用遠端管理或 SSL VPN,且管理員帳號的憑證未更新或未啟用雙因素驗證(2FA),則會受到影響。 使用 Nebula…
-
資安路由器-規格表
Category SCR 50AXE USG LITE 60AX Rule / Policy Limits VLAN 4 4 Firewall Rules 15 15 Virtual Server 10 10 Application Profile 5 5 Application Bandwidth Control None 10 Application Bandwidth Control by Usage None 30 Content Filter Profile 5 5 Custom Allow Domain 50 50 Custom Block Domain 50 50 Site-to-Site VPN 3 3 DNS…
-
[ATP/USG FLEX]防火牆透過 AD 伺服器實現 IKEv2 VPN 用戶認證
前言 本篇文章將說明如何讓防火牆讀取 AD 伺服器,並透過 AD 伺服器的資料庫進行 IKEv2 VPN 用戶認證。如果您對 IKEv2 的設定尚不熟悉,可以先參考此文章,完成 USG FLEX/ATP 系列防火牆的 IKEv2 VPN 遠端存取設定教學。 設定步驟 在 IKEv2 用戶認證中,將使用 MSCHAPv2 來與 AD 伺服器進行驗證。因此,您需要在您的防火牆上配置 MSCHAPv2。(在本測試場景中,usg.com 是 AD 網域名稱) 步驟1 - 修改防火牆主機名稱並新增網域名稱 請前往【設定 > 系統 > 主機名稱】,編輯系統名稱、網域名稱 步驟2 - 編輯或新增 AD Server 啟用 MSCHAP 功能 前往【設定…
-
收到中華電信告警 DNS Open Resolver 弱點該怎麼辦?
何謂 DNS Open Resolver ? DNS Open Resolver 是指一種 DNS 伺服器設定,允許它向任何請求者回應DNS查詢,而不限制只回應特定範圍內的請求。這意味著任何人都可以使用這樣的DNS伺服器來查詢DNS資訊,無需身份驗證或限制。 一般來說,DNS服務應該只允許內網使用,而不允許外部網路連接到防火牆的DNS服務。但若是管理員設定錯誤,則有可能導致外網能存取防火牆 DNS 服務。 中華電信會協助客戶進行弱點掃描,檢查他們所分配的 IP 是否存在 DNS Open Resolver 漏洞。如果發現此類問題,將發出告警提醒客戶進行修復。 本文將提供步驟教您如何排除 DNS Open Resolver 的風險。…
-
【2024年10月通知】透過最新的 ZLD5.39 更新並提升您的網路
ZLD5.39 讓您有更強大的流量控制,並且以新的 CLI 指令來傳送帶有數據的 TCP SYN 封包、享受更快速的過濾,以及修復 Chrome TLS 1.3 內容過濾器的錯誤。立即更新,提升安全性。 Zyxel 致力於持續為您的設備提供更新,確保重要的維護資訊。本次最新版本還提升了 Zyxel 防火牆產品的全方位功能,包括: ➡ 表一:功能提升 項目 描述 功能優化 建立CLI 來啟用「傳送帶有數據的 TCP SYN 封包」。 優化 URL 威脅過濾器/內容過濾器的掃描流程,以避免不必要的檢查。 ➡ 表二:解決的問題 漏洞 ID 描述 240401350 240401693 240501058 240701813…
-
如何在 SecuReporter 中顯示主機名稱及MAC Address
在檢查 SecuReporter Dashboard Top N 或是 Analysis 您可能會發現 Hostname / MAC Address沒有正確的顯示相關訊息 您需要啟用“Device Insight”才能在 SecuReporter 顯示 Hostname / MAC Address資訊 登入防火牆後,到 設定 > 物件 > Device Insight 勾選 新增一個組合,依照類別等進行設定 以上完成後防火牆會開始收集資料,從 監控 > 網路狀態 > Device Insight 可以檢查收集的訊息 防火牆收集資料後上傳 SecuReporter 會需要一點時間 登入 SecuReporter 就會看到收集到的資訊及統計資料…
-
USG FLEX H 介面設定教學
前言 在設置新的網路環境時,網路管理人員通常會事先規劃好各個網段和 VLAN。本文將指導您如何在 USG FLEX H 防火牆上正確配置您預先設計的網段。 防火牆介面分為「外部介面」、「內部介面」: 外部介面通常被稱為 WAN 介面,用於與數據機連接,並連接到網際網路。 內部介面通常被稱為 LAN 介面,用於內部網路,可使用的網段包括「10.0.0.0/8」「172.16.0.0/12」「192.168.0.0/16」。 介面設定位置為 : 「網路」>「介面」>「介面」 備註 : 本篇文章使用 USG FLEX 500H V1.21(ABZH.0) 版本作為截圖畫面。 內容大綱 WAN 介面(外部介面) 編輯 WAN 介面 新增 WAN…
-
強化網路安全:如何在 USG Flex H 系列防火牆啟用憑證登入
前言 現代網路對外連線已經無法缺少標準的網路安全設備「防火牆」。防火牆不僅肩負對外阻擋惡意流量入侵的重責大任,對內更可以提供 DHCP 服務派發 IP 位址或管理無線基地台等功能,是維護網路環境安全的關鍵設備。 為了確保防火牆管理介面的安全性,除了傳統的帳號密碼與雙因素驗證 (2FA) 外,還可以導入更強大的安全機制 - "憑證" 驗證。憑證驗證透過數位簽章和加密技術,提供更嚴格的身份驗證,有效防止未經授權的存取,進一步提升防火牆的安全性。 什麼是憑證登入? 憑證登入是一種比傳統帳號密碼更安全的網路設備管理方式。它使用數位憑證(包含公鑰和私鑰)來驗證用戶身份。 優點: 安全性更高: 憑證登入可以有效防止密碼被竊取或暴力破解。…
-
USG FLEX H 防火牆初始設定指南
前言 當您首次取得 USG FLEX H 防火牆時,如果缺乏相關經驗,可能會不確定該如何開始操作。本篇文章將為您提供詳細的初始設定教學,幫助您輕鬆上手,快速掌握防火牆的管理操作。 操作步驟 以下是詳細的操作流程: 步驟1 - 防火牆開機 將防火牆接上電源後,觀察 PWR/SYS 指示燈是否開始閃爍。當燈號恆亮時,表示設備已開機完成,您即可進行下一步操作。 步驟2 - 連接防火牆 防火牆預設值 Port4 為 LAN 介面,將電腦連上即可取得 LAN 網段 192.168.168.0/24。檢查乙太網路狀態: 打開「控制台」→ 點選「網路和分享中心」。 點選「變更介面卡設定」,右鍵點選「乙太網路」,然後選擇「狀態」。 點擊「詳細資料」,確認…
-
USG FLEX H 系列防火牆規則設定教學
前言 防火牆的主要功能是阻擋非法入侵,它是如何做到的呢?這是通過防火牆規則對流量進行過濾來實現的,這也是防火牆的核心功能。 以下教學將幫助您基本了解防火牆設備的工作原理,並準備好開始創建自己的防火牆規則。 在深入設定之前,我們先簡要介紹防火牆的構建方式。防火牆規則是由各種物件組成的,下面將介紹這些物件的意義。 備註 : 本篇文章截圖畫面使用 USG FLEX 500H V1.21(ABZH.0) 版本 介面 防火牆由多個網路介面組成,包括從 WAN 到 LAN 介面,還有您在設備上新增的所有其他虛擬介面。 物件 就像區域中有多個“物件”一樣,您可以創建多個地址物件、服務物件及其他類型的物件來應用到防火牆規則中。…
-
如何啟用 ZYXEL 防火牆的外網 PING 功能
前言 在某些情境下,網路管理員可能需要透過外網 PING 防火牆,以監控防火牆是否正常運作。PING 是一種基本且有效的網路診斷工具,能快速測試網路設備的連通性。然而,ZYXEL 防火牆的預設設定不允許外網的 PING 請求。如果您希望開啟此功能,請參考以下設定教學。 設定教學 本教學將介紹如何在 ZYXEL 各型防火牆上啟用外網 PING 功能,適用於 ATP/USG FLEX/VPN 及 USG FLEX H 系列防火牆,請依照您的型號選擇設定教學。 ATP/USG FLEX/VPN 系列防火牆設定教學 以下設定範例截圖畫面使用 ATP200 V5.38(ABFW.0) 步驟1 - 新增防火牆規則…
-
ZYXEL USG Flex H 防火牆 SSL VPN 設定教學
什麼是 SSL VPN SSL VPN 遠端安全存取服務可以讓企業員工遠距辦公時,建立加密通道連接企業內部網路,安全存取企業內部資源,進行公文審核及緊急事件處理。 SSL VPN 利用 SSL/TLS 加密協議,讓企業員工在遠程辦公時能夠安全地連接公司內部網路。與傳統 VPN 相比,SSL VPN 使用不同的服務 Port,較能避免被封鎖的可能,使用方便且安全性高。此外,它支援多種操作系統,適合各種設備,使得企業無論何時何地都能保持安全的網路連接。 SSL VPN 用戶同時連線數 USG FLEX H 系列防火牆依據型號具有不同的 SSL VPN 同時連線用戶上限(裝置數量),請確認該型號是否符合您的需求 : USG FLEX 100H :…
-
SecuExtender SSL VPN macOS 客戶端更新終止後,有什麼升級選項?
SecuExtender SSL VPN MAC OS X 客戶端即將更新終止與升級選項 SecuExtender SSL VPN MAC OS X 客戶端即將更新終止(EOL)。雖然我們將不再銷售此產品,但我們有以下選項確保您能維持網路安全和連接。 選項1:使用 IPSec VPN 替代 SSL VPN IPSec VPN 基本上適用於所有 Zyxel 防火牆和終端平台,包括 macOS、iOS、Windows 和Android。IPSec VPN 相比 SSL VPN 有以下幾個優勢: 高安全性: 使用多種加密和身份驗證方法提供強大的安全性。較少可能遇到網路攻擊,如跨站腳本攻擊。 高性能: 根據應用程式和連接條件,IPSec VPN…
-
Zyxel 在 2024 年度 CRN® 科技創新獎中獲得殊榮
Zyxel USG FLEX 700H 被 CRN® 評為最佳中小企業網路安全解決方案 我們非常高興能與大家分享這個激動的消息!Zyxel 的 USG FLEX 700H 被《CRN®》(The Channel Company 旗下品牌)評選為 2024 年最佳中小企業網路安全解決方案。這項殊榮肯定Zyxel 一直以來致力於提供頂級、創新且值得信賴的網路安全解決方案的努力。 為什麼 Zyxel USG FLEX 700H 能脫穎而出 USG FLEX 700H 有強大的功能,確保全面的網路安全和無縫連接,是一個為中小企業量身打造的解決方案。以下是這款防火牆能脫穎而出的產品亮點: 進階威脅保護: USG FLEX 700H…
-
防火牆規格表_Nebula (ZLD5.37)
設備會依據型號不同,而有規格上的差異。 本地管理的規格可從user guide 的附錄上查到不同型號的規格數量. 設備上雲後的規格可參考下列規格表 (備註:Nebula 沒有物件的概念,所以沒有物件數量上的差異,但單一筆條例來源/目的可設定10筆物件數量) Model Name USG20-VPN USG20W-VPN USG FLEX 50 USG FLEX 50AX USG FLEX 100 USG FLEX 100W USG FLEX 100AX USG FLEX 200 USG FLEX 500 USG FLEX 700 ATP100 ATP100W ATP200 ATP500 ATP700 ATP800 Interface…
-
USG FLEX H 系列防火牆:DDNS 與 IKEv2 VPN 遠端存取完整教學
前言 若希望從外網連回內部存取資料,使用者需要與防火牆建立 VPN 通道,才能透過此通道存取內網資料。防火牆通常需要固定外網 IP 以便外部用戶建立 VPN。但有時候,客戶可能無法申請固定 IP,此時可以參考本教學,使用 DDNS 將浮動 IP 與固定域名綁定。這樣即使外網 IP 變更,外部使用者依然能成功與防火牆建立 VPN,並且順利存取內部資料。 什麼是 DDNS? DDNS(動態域名系統)是一種技術,用於將動態變化的 IP 地址與固定域名綁定,適合使用動態 IP 地址(如家庭或小型辦公室網路)的用戶。以下是DDNS的簡單介紹: 工作原理: DDNS服務會不斷監測你的IP地址變化。…
-
3500 名專業人士票選 Zyxel 為「網路防火牆」冠軍品牌
「2024年安全解決方案-專業使用者評比」(Security Solutions 2024 – Professional User Rating)最近公布相關結果,Zyxel 被列為「網路防火牆」類別的冠軍之一!這份評比調查超過 3,500 位專業商業資安用戶,並讓他們評估對於各大資安產品與解決方案的滿意度。 為了保護自身不受網路攻擊,許多資安業者提供解決方案來對抗網路威脅,但企業中的安全專家如何評估這些資安解決方案及其背後業者的表現呢?「專業用戶評比:資安解決方案 2024」的調查提供了許多寶貴的訊息。 該調查由知名德國媒體集團 Heise Group 旗下的市場研究公司 Tech Consult 主辦。它涵蓋了德語地區超過 3,500…
-
防火牆忘記密碼該怎麼辦?
前言 本篇文章透過完整的操作步驟,向您說明,當防火牆密碼遺失,該如何處理,才能保留原有設定檔,成功再次登入防火牆。 存取權限的恢復取決於您擁有的防火牆型號以及當前韌體版本。以下提供兩種方法,請您依照您的環境選擇操作方式 : 注意:無論採用哪種方法,您都需要使用 Console 電纜連接到設備進行操作。 若您尚未熟悉 Console 電纜操作方式,請參考此文章 : 掌握 CLI 操作:如何使用 Console 電纜和 SSH 方法1 : 重設管理員密碼 - 5.20 或更高版本的韌體(僅支援 VPN、USG FLEX、ATP 系列) 方法2 : 恢復設定檔 - 5.20 之前的韌體(或 USG/Zywall 系列)…
-
您的內容過濾服務可能失效的原因是什麼?
內容過濾服務(Content Filter)用於保護企業免受不良的網站內容影響。它提供了幾個好處,因此,大多數IT人員會在網路基礎設施中部署此服務以達到以下目的: 封鎖對不良網路內容的訪問: 使用 Zyxel 的網站過濾服務(Web Filtering)進行精確的封鎖和過濾,該服務通過雲端資料庫不斷更新,以防範有害內容。 防範惡意和釣魚網站: 透過阻止對已知惡意網站的訪問,保護您的網路不受如釣魚、惡意軟體、攻擊工具包和命令和控制等網路威脅。 基於規則的控制(Policy-based control): 實施基於規則的控制來進行更細緻的封鎖和過濾。這一點可以說是相當重要,因為有許多惡意網站可以感染系統並植入病毒或間諜軟體。Zyxel…
-
Zyxel 防火牆發揮 WiFi 7 的無限潛力
Zyxel已將其先進的 AP 控制器(AP Controller, APC)技術應用於各種防火牆產品中。這使企業能夠輕鬆擴展其 WiFi 網路,並減少對網路的投資和管理工作。 透過最新的韌體版本 ZLD5.38,Zyxel 防火牆用戶現在可以充分發揮 WiFi 7 技術的全部潛力,提供前所未有的速度、可靠性和效率。 在此更新之前,即使使用 WiFi 7 無線基地台,用戶也受限於 WiFi 6 的性能。這個限制意味著用戶無法充分利用其硬體的先進功能和能力。但是,隨著 ZLD5.38 的發布,這一切都將發生變化。 性能提升: 告別限制。我們的新韌體實現了與WiFi 7無線基地台的無縫相容,讓用戶體驗下一代無線連接。 未來趨勢: 支援WiFi…
