-
【 2025 年 4 月 通知 】uOS1.32 更新:USG FLEX H 系列的新功能
最新的 USG FLEX H 防火牆系列採用了新的 uOS,旨在最大限度地減少系統響應時間並提高整體系統效率,包括以下功能: Smart Sync,無縫管理 透過我們先進的 SmartSync 技術,體驗雲端和設備之間革命性的同步。無縫存取整個生態系統的配置。我們的下一代平台為您提供即時、精細的設定,讓您擁有前所未有的控制權。透過即時更新和智慧偏好管理,保持完美的協調。立即解鎖無縫連接的未來。 DoH 和 DoT 封鎖和監控 當防火牆偵測到傳輸到已知 DoH 伺服器的 DNS over HTTPS (DoH) 或 DNS over TLS (DoT) 查詢時,USG FLEX H 系列會封鎖它們以強制執行網際網路限制,確保網路過濾、DNS…
-
【 2025 年 4 月 焦點 】透過 USG FLEX H 更聰明地同步!
嗨~ 網路管理員們,您們的網路救星已降臨! 管理混合網路(部分雲端,部分本地部署)可能讓您感覺像一場災難。前一分鐘你還在調整雲端設定,下一分鐘你就得趕緊更新本地部署設定,同時祈禱一切安好。聽起來很熟悉嗎?Zyxel 推出 USG FLEX H 系列防火牆和出色的 Smart Sync,就是要改寫這個劇本。這不僅僅是另一個小工具,更是您的私人助手,隨時準備將您的網路管理煩惱變成小菜一碟。 解決你的日常煩惱 你有數不清的事情要做,而保持雲端和本地部署設定同步是你不需要的另一個麻煩。Smart Sync…
-
VPN Orchestrator
VPN Orchestrator 使您能夠在組織內的不同站點之間自動建立虛擬私人網路 (VPN) 連線。這使得每個站點的安全閘道和其後面的 Nebula 設備能夠安全地進行通訊。 建立站點到站點 VPN 連線時,可以使用兩種拓撲:Site-to-Site 和 Hub-and-spoke。本文將以Site-to-Site 情境為例。 拓撲 目標: 192.168.168.0/24 能夠與 192.168.160.0/24 通訊。 192.168.160.0/24 能夠與 192.168.168.0/24 通訊。 測試項目: 前往「 組織範圍 > 組織範圍管理 > VPN Orchestrator 」 啟用兩個 VPN…
-
如何在 Nebula 站點對站點 VPN 上設定 VPN 區域和 VPN 拓撲
首先,您需要擁有 Nebula Professional Pack 才能實作此功能。Nebula VPN Orchestrator 提供軟體定義設計,以在組織內建構可擴展的 VPN 拓撲。我們可以在組織內建立多個 VPN 區域,每個區域都有自己的站點和 VPN 拓撲。使用者需要 Nebula Pro Pack 才能實作此功能。 我們可以使用的拓撲有兩種:完全網狀和 Hub-and-Spoke。完全網狀:每個站點都有一個站點對站點 VPN 隧道連接到 VPN 區域中的每個站點,站點能夠直接與其他站點通訊。Hub-and-spoke:每個 spoke 站點都有一個站點對站點 VPN 隧道連接到 hub 站點。spoke 站點之間的流量必須通過…
-
【2025 年 3 月 焦點】USG LITE 60AX 獲媒體盛讚與大獎肯定🌟
Zyxel USG LITE 60AX 迅速崛起,贏得科技媒體的熱烈讚譽與業界權威大獎🏆。這款專為小型企業與遠端工作者設計的 WiFi 6 資安路由器,深受評測專家與專業人士的肯定。我們衷心感謝以下媒體與機構的高度認可與推薦🙌,他們的讚譽與獎項激勵我們持續推出創新的網路解決方案🚀。 美國 MB Reviews: 「效能超乎預期」 High-Speed Internet: 「提升企業安全性的絕佳路由器」 土耳其 CHIP: 「創新路由器,滿足企業所需的安全網路」 羅馬尼亞 IT CHANNEL: 「不僅提供卓越效能,更具備強大安全性的最佳選擇」 台灣 2025…
-
掌控您的資安:在 Zyxel 防火牆啟用二階段認證
儘管已經重複說過好多次,但我們強烈建議用戶:啟用二階段認證 (2FA) 來保護管理者登入! 這項重要建議來自最新的漏洞公告,提醒您及早採取主動措施以保護關鍵資產。以下為詳細解析,助您守護最重要的資源。 CVE-2024-11667:重點與解決方案 發布日期:2024 年 11 月 Zyxel 已發現並處理了針對其防火牆產品的活躍攻擊嘗試。根據資安公司 Sekoia 的報告,Zyxel 系統中存在漏洞,Zyxel 迅速作出應對,減輕威脅影響。 📣 問題描述 主要漏洞 CVE-2024-11667 為 Zyxel ZLD 防火牆韌體 (版本 5.00–5.38) 的 Web 管理介面中的目錄遍歷漏洞。利用此漏洞可能導致: 透過URL…
-
Ports 群組綁定限制
Ports 群組綁定是個實用功能,可讓多個實體網路孔綁成一個交換器概念。 不過在USG FLEX 500H 跟 USG FLEX 700H 因硬體設備特性會有無法綁成群組的部分,以下說明。 1)USG FLEX 500H 跟 USG FLEX 700H 的Port 1 跟 Port 2 無法跟其他Port 綁成群組 2)USG FLEX 700H 的Port 13 跟 Port 14 無法跟其他網路孔綁成群組. 以上敘述也可以從Release Note上看到.
-
USG FLEX H 系列 -- 來源 IP 偽造防護
在最新的 uOS 韌體版本中,Zyxel 增強了網路安全功能,推出了原本稱為 IP-MAC 綁定的 來源 IP 偽造防護功能。這項功能現在提供了更廣泛的功能性與更高的靈活性,協助網路管理員防止未經授權的 IP 偽造進入其網路環境。 什麼是來源 IP 偽造防護? 來源 IP 偽造防護通過驗證客戶端的 IP 和 MAC 地址,確保只有授權的設備能夠存取網路。此功能依據預先定義的策略,檢查 IP 和 MAC 地址是否一致且受信任,並阻止任何不匹配或偽造的地址取得存取權。 此功能的應用包括: 增強安全性:限制網路存取僅限於已知的設備。 阻止惡意行為:防止通過 IP 偽造模仿合法設備的行為。 來源 IP 偽造防護的主要組成部分 1. IP 和 MAC…
-
如何使用IPv6 設定IPSec VPN(USG FLEX/ATP)
架構情境: 此篇將示範如何透過兩台USG FLEX/ATP 防火牆類似總部與分點,並透過IPv6 建立IPSec VPN 連線。 前置動作: 先確認您目前操作的防火牆已啟用IPv6的設定,如沒有可以參考底下文章說明 未來網路趨勢:在ZYXEL防火牆實現IPv6功能的詳細教學 設定步驟: 設定Site-to-Site VPN For HQ - Phase 1 路徑: 設定>VPN>IPSec VPN>VPN閘道器 2.設定Site-to-Site VPN For HQ - Phase 2 路徑: 設定>VPN>IPSec VPN>VPN 連線 3.設定Site-to-Site VPN For Branch - Phase 1路徑:…
-
簡述 USG FLEX H 設備開機流程
開機流程 當 USG FLEX H 系列防火牆啟動時,會按照特定順序應用其設定檔案。這個流程有助於識別和排除在開機過程中可能出現的問題。 控制台顯示的開機符號 透過連接 Console 線,防火牆會使用一系列符號來指示設定應用的進度和狀態: •:開始應用啟動設定(startup-config.conf)。 @ :開始應用上次良好設定(lastgood.conf)。 *:開始應用系統預設設定(system-default.conf)。 $:設定應用成功。 X:設定應用失敗。 儀表板上的開機狀態 防火牆的主儀表板提供當前設定狀態的視覺表示。您可以透過懸停在狀態指示器上,查看詳細的狀態描述: 啟動成功:設定成功應用。…
-
USG FLEX H 之 IPSec VPN 偵錯日誌功能
IPSec VPN 是 Zyxel 安全設備的重要功能,提供不同站點之間的安全連接。然而,VPN 問題的排查可能因為一般事件日誌的資訊不足而變得困難。為了解決這個問題,uOS 現在包含了詳細的 IPSec VPN 偵錯日誌功能。 主要功能 1. 即時追蹤日誌 指令:cmd debug ipsec trace log 功能: 提供即時的追蹤日誌,在控制台顯示正在執行的 VPN 流程。 使用情境: 適合立即排除問題,捕捉事件發生時的日誌。 停止方法: 使用 Ctrl + C 停止即時追蹤日誌。 2. 保存的偵錯日誌 指令: 開始記錄:cmd debug ipsec save log 停止記錄:cmd debug ipsec stop log…
-
【2024 年 12 月 技巧與秘訣】一分鐘搞懂路由型VPN
什麼是路由型VPN? 路由型VPN(Route-Based VPN)是一種使用路由和策略來指引和控制不同VPN端點之間流量的VPN架構類型。與僅依賴安全策略的策略型 VPN(Policy-Based VPN)不同,路由型VPN 使用路由表來確定每個數據包的最佳傳輸路徑。在這種架構中,每個 VPN 通道都有一個獨立的虛擬隧道介面(VTI)及其專屬的路由表。這樣的設計使得流量可以根據與其 VTI 相關的路由表進行傳輸,提供更高的靈活性與可擴展性。此外,路由型VPN 支援在相同的端點之間建立多條通道,有助於實現故障轉移和負載平衡。這種 VPN 尤其適用於多條 VPN 隧道連接不同地點且需要細緻且靈活路由策略的複雜網路環境。 路由型VPN…
-
USG Flex H (密技) 什麼是 Fastpath 加速
Fastpath 加速技術旨在提升網路流量的處理效率。 透過保留系統資源專門處理網路流量, 特別是將 CPU3 和 CPU4 分配給客戶端流量, Fastpath 能夠加速資料封包的處理,降低延遲,並提升整體網路效能。 在 Zyxel 的 USG FLEX H 系列防火牆中,結合新一代多核心硬體和 Fastpath 技術,可將性能提升多達三倍,滿足高需求和高速網路的需求。 您可以透過執行「show cpu status」指令來檢查 Fastpath 的平均使用情況。
-
USG Flex H 安全服務的封包檢查流程說明
這篇文章要來介紹一下安全服務是怎麼檢查的。 IP 信譽檢查 (IP Reputation):首先,系統會檢查封包的來源 IP 是否在已知的惡意 IP 清單中。 若在清單中,該封包將被阻擋。 安全性策略檢查 (Security Policy):接著,系統會根據已設定的安全性策略,檢查傳輸層 (Transport Layer) 的連線是否被允許。 若允許,則進一步處理。 SSL/TLS 解密:如果封包使用 SSL/TLS 加密,系統會對其進行解密,以便後續檢查。 應用層檢查 (Application Layer Inspection):在解密後,系統會對應用層的資料進行深入檢查,確保其符合安全性要求。…
-
USG Flex H 策略路由的自動停用與自動恢復
策略路由的自動停用與自動恢復 此功能會在網路連結失效時,自動停用相關策略路由;一旦連結恢復,則會自動重新啟用。 設定步驟: 進入策略路由介面: 登入防火牆的管理介面。 前往 「網路 > 路由 > 策略路由」。 建立策略路由: 點擊 「新增」,設定新的策略路由。 設定策略名稱並指定符合的流量條件。 啟用進階設定: 在 「進階設定」 中,選擇下一跳類型為 「介面」 或 「閘道」(避免選擇「自動」)。 設定健康檢查 (Health Check): 啟用 「健康檢查」。 選擇方法,例如:「當介面連結中斷時自動停用策略路由」 或 「ICMP Ping 檢查」。 若選擇 ICMP Ping 檢查,需指定目標 IP(例如:8.8.8.8)。 保存設定:…
-
USG FLEX H 有多組固定IP如何設定對外NAT成另一個IP
有時候因需求會需要將不同設備使用不同的Public IP 上網,以下針對此應用情境設定範例如下: 新增一個位址物件 新增 Policy Route
-
USG FLEX H 設定 NAT (網路位址轉譯) 以開放對外服務
為什麼需要 NAT? 在典型的網路架構中,出於 IPv4 位址短缺與安全考量,您的內部伺服器(如網站主機、NAS)通常使用私有 IP 位址。這些私有 IP 無法直接從網際網路存取。 為了解決此問題,「網路位址轉譯 (NAT)」功能應運而生。它能讓防火牆作為一個轉發站,將來自外部網路、指向您 WAN 端公開 IP 的連線請求,安全地轉發給指定的內部伺服器。 版本資訊:本篇教學的截圖與操作,基於 USG FLEX H V1.35 patch 2 韌體版本。 設定方式:Nebula雲端或本地的選擇 USG FLEX H 系列支援「雲地混合」管理模式。您可以選擇在 Nebula 雲端平台上進行設定,也可以登入設備的本地 Web GUI 進行。…
-
USG FLEX H-DHCP Clinet 清單為何無法顯示設備的主機名稱?
USG FLEX H 升級韌體至uOS 1.30時,要求主機名稱需符合RFC 1123規則,此規則要求如下: 主機名稱不能以連字號 (-) 開頭。 它們只能包含字母(AZ、az)、數字(0-9)和連字號(-)。 最大長度為 255 個字元。 故如果之前已有輸入非上述規則的主機名稱,或現有主機的名稱不符合,就會以MAC 的方式呈現。
-
<進階> USG FLEX H 系列 透過 CLI 檢查 CPU 溫度
要在 USG FLEX H 系列設備上透過 CLI 檢查 CPU 溫度,請按照以下步驟操作: 進入 CLI:使用 SSH 或控制台連接到設備。 輸入命令:在提示符下輸入以下指令並按下 Enter: cmd cpu-temperature 查看結果:設備將顯示目前的 CPU 溫度,例如: usgflex500h> cmd cpu-temperature cpu-temperature info "43 Degrees Celsius" 此方法可用於監控 CPU 溫度,便於進行故障排查或維護。
-
USG FLEX H Series - 了解橋接介面 (Bridge Interface)
了解橋接介面 橋接介面是一種可以在第 2 層(L2)層級連接多個網路埠的功能,使這些埠上的裝置可以像在同一個本地網路內互相通訊。此功能同時支援第 3 層(L3)功能,例如路由至其他網路的能力。 橋接介面的使用場景 內部區域分割(L2 橋接) 場景: 兩個裝置(例如客戶端 A 和客戶端 B)需要位於同一子網路內,但必須彼此隔離。 解決方案: 將兩個埠(例如 Port 6 和 Port 8)設為橋接介面,讓這兩個裝置共享同一個網段。再透過安全性政策來控制或限制它們之間的訪問。 結果: 提供 L2 的連接性,同時能應用 L3 的流量控制,增強安全性。 外部橋接介面(透明網路整合) 場景: 將防火牆整合到現有網路中,無需更改網路架構。例如,允許…
