-
[ATP/USG FLEX]防火牆透過 AD 伺服器實現 IKEv2 VPN 用戶認證
前言 本篇文章將說明如何讓防火牆讀取 AD 伺服器,並透過 AD 伺服器的資料庫進行 IKEv2 VPN 用戶認證。如果您對 IKEv2 的設定尚不熟悉,可以先參考此文章,完成 USG FLEX/ATP 系列防火牆的 IKEv2 VPN 遠端存取設定教學。 設定步驟 在 IKEv2 用戶認證中,將使用 MSCHAPv2 來與 AD 伺服器進行驗證。因此,您需要在您的防火牆上配置 MSCHAPv2。(在本測試場景中,usg.com 是 AD 網域名稱) 步驟1 - 修改防火牆主機名稱並新增網域名稱 請前往【設定 > 系統 > 主機名稱】,編輯系統名稱、網域名稱 步驟2 - 編輯或新增 AD Server 啟用 MSCHAP 功能 前往【設定…
-
收到中華電信告警 DNS Open Resolver 弱點該怎麼辦?
何謂 DNS Open Resolver ? DNS Open Resolver 是指一種 DNS 伺服器設定,允許它向任何請求者回應DNS查詢,而不限制只回應特定範圍內的請求。這意味著任何人都可以使用這樣的DNS伺服器來查詢DNS資訊,無需身份驗證或限制。 一般來說,DNS服務應該只允許內網使用,而不允許外部網路連接到防火牆的DNS服務。但若是管理員設定錯誤,則有可能導致外網能存取防火牆 DNS 服務。 中華電信會協助客戶進行弱點掃描,檢查他們所分配的 IP 是否存在 DNS Open Resolver 漏洞。如果發現此類問題,將發出告警提醒客戶進行修復。 本文將提供步驟教您如何排除 DNS Open Resolver 的風險。…
-
【2024年10月通知】透過最新的 ZLD5.39 更新並提升您的網路
ZLD5.39 讓您有更強大的流量控制,並且以新的 CLI 指令來傳送帶有數據的 TCP SYN 封包、享受更快速的過濾,以及修復 Chrome TLS 1.3 內容過濾器的錯誤。立即更新,提升安全性。 Zyxel 致力於持續為您的設備提供更新,確保重要的維護資訊。本次最新版本還提升了 Zyxel 防火牆產品的全方位功能,包括: ➡ 表一:功能提升 項目 描述 功能優化 建立CLI 來啟用「傳送帶有數據的 TCP SYN 封包」。 優化 URL 威脅過濾器/內容過濾器的掃描流程,以避免不必要的檢查。 ➡ 表二:解決的問題 漏洞 ID 描述 240401350 240401693 240501058 240701813…
-
如何在 SecuReporter 中顯示主機名稱及MAC Address
在檢查 SecuReporter Dashboard Top N 或是 Analysis 您可能會發現 Hostname / MAC Address沒有正確的顯示相關訊息 您需要啟用“Device Insight”才能在 SecuReporter 顯示 Hostname / MAC Address資訊 登入防火牆後,到 設定 > 物件 > Device Insight 勾選 新增一個組合,依照類別等進行設定 以上完成後防火牆會開始收集資料,從 監控 > 網路狀態 > Device Insight 可以檢查收集的訊息 防火牆收集資料後上傳 SecuReporter 會需要一點時間 登入 SecuReporter 就會看到收集到的資訊及統計資料…
-
USG FLEX H 介面設定教學
前言 在設置新的網路環境時,網路管理人員通常會事先規劃好各個網段和 VLAN。本文將指導您如何在 USG FLEX H 防火牆上正確配置您預先設計的網段。 防火牆介面分為「外部介面」、「內部介面」: 外部介面通常被稱為 WAN 介面,用於與數據機連接,並連接到網際網路。 內部介面通常被稱為 LAN 介面,用於內部網路,可使用的網段包括「10.0.0.0/8」「172.16.0.0/12」「192.168.0.0/16」。 介面設定位置為 : 「網路」>「介面」>「介面」 備註 : 本篇文章使用 USG FLEX 500H V1.21(ABZH.0) 版本作為截圖畫面。 內容大綱 WAN 介面(外部介面) 編輯 WAN 介面 新增 WAN…
-
強化網路安全:如何在 USG Flex H 系列防火牆啟用憑證登入
前言 現代網路對外連線已經無法缺少標準的網路安全設備「防火牆」。防火牆不僅肩負對外阻擋惡意流量入侵的重責大任,對內更可以提供 DHCP 服務派發 IP 位址或管理無線基地台等功能,是維護網路環境安全的關鍵設備。 為了確保防火牆管理介面的安全性,除了傳統的帳號密碼與雙因素驗證 (2FA) 外,還可以導入更強大的安全機制 - "憑證" 驗證。憑證驗證透過數位簽章和加密技術,提供更嚴格的身份驗證,有效防止未經授權的存取,進一步提升防火牆的安全性。 什麼是憑證登入? 憑證登入是一種比傳統帳號密碼更安全的網路設備管理方式。它使用數位憑證(包含公鑰和私鑰)來驗證用戶身份。 優點: 安全性更高: 憑證登入可以有效防止密碼被竊取或暴力破解。…
-
USG FLEX H 防火牆初始設定指南
前言 當您首次取得 USG FLEX H 防火牆時,如果缺乏相關經驗,可能會不確定該如何開始操作。本篇文章將為您提供詳細的初始設定教學,幫助您輕鬆上手,快速掌握防火牆的管理操作。 操作步驟 以下是詳細的操作流程: 步驟1 - 防火牆開機 將防火牆接上電源後,觀察 PWR/SYS 指示燈是否開始閃爍。當燈號恆亮時,表示設備已開機完成,您即可進行下一步操作。 步驟2 - 連接防火牆 防火牆預設值 Port4 為 LAN 介面,將電腦連上即可取得 LAN 網段 192.168.168.0/24。檢查乙太網路狀態: 打開「控制台」→ 點選「網路和分享中心」。 點選「變更介面卡設定」,右鍵點選「乙太網路」,然後選擇「狀態」。 點擊「詳細資料」,確認…
-
USG FLEX H 系列防火牆規則設定教學
前言 防火牆的核心功能,是透過管理者設定的「規則」,來精準地過濾網路流量,達到阻擋非法入侵、保護內部網路安全的目標。 本篇教學將作為一份完整的指南,從防火牆最基礎的「物件」觀念開始,詳細說明規則的運作邏輯、每一個欄位的意義,並透過實際範例,引導您完成防火牆的設定。 版本資訊:本篇教學的截圖與操作,基於 USG FLEX 500H V1.32(ABZH.0) 版本。 第一章:防火牆的基礎:認識「物件 (Object)」 在深入設定之前,我們必須先了解防火牆的「物件化」架構。防火牆規則是由各種可重複使用的「物件」所組成的。物件本身沒有作用,但當它們被應用到規則中時,就成為了判斷流量的依據。 1. 介面 (Interface) 與區域…
-
如何啟用 ZYXEL 防火牆的外網 PING 功能
前言 在某些情境下,網路管理員可能需要透過外網 PING 防火牆,以監控防火牆是否正常運作。PING 是一種基本且有效的網路診斷工具,能快速測試網路設備的連通性。然而,ZYXEL 防火牆的預設設定不允許外網的 PING 請求。如果您希望開啟此功能,請參考以下設定教學。 設定教學 本教學將介紹如何在 ZYXEL 各型防火牆上啟用外網 PING 功能,適用於 ATP/USG FLEX/VPN 及 USG FLEX H 系列防火牆,請依照您的型號選擇設定教學。 ATP/USG FLEX/VPN 系列防火牆設定教學 以下設定範例截圖畫面使用 ATP200 V5.38(ABFW.0) 步驟1 - 新增防火牆規則…
-
ZYXEL USG Flex H 防火牆 SSL VPN 設定教學
什麼是 SSL VPN SSL VPN 遠端安全存取服務可以讓企業員工遠距辦公時,建立加密通道連接企業內部網路,安全存取企業內部資源,進行公文審核及緊急事件處理。 SSL VPN 利用 SSL/TLS 加密協議,讓企業員工在遠程辦公時能夠安全地連接公司內部網路。與傳統 VPN 相比,SSL VPN 使用不同的服務 Port,較能避免被封鎖的可能,使用方便且安全性高。此外,它支援多種操作系統,適合各種設備,使得企業無論何時何地都能保持安全的網路連接。 SSL VPN 用戶同時連線數 USG FLEX H 系列防火牆依據型號具有不同的 SSL VPN 同時連線用戶上限(裝置數量),請確認該型號是否符合您的需求 : USG FLEX 100H :…
-
SecuExtender SSL VPN macOS 客戶端更新終止後,有什麼升級選項?
SecuExtender SSL VPN MAC OS X 客戶端即將更新終止與升級選項 SecuExtender SSL VPN MAC OS X 客戶端即將更新終止(EOL)。雖然我們將不再銷售此產品,但我們有以下選項確保您能維持網路安全和連接。 選項1:使用 IPSec VPN 替代 SSL VPN IPSec VPN 基本上適用於所有 Zyxel 防火牆和終端平台,包括 macOS、iOS、Windows 和Android。IPSec VPN 相比 SSL VPN 有以下幾個優勢: 高安全性: 使用多種加密和身份驗證方法提供強大的安全性。較少可能遇到網路攻擊,如跨站腳本攻擊。 高性能: 根據應用程式和連接條件,IPSec VPN…
-
Zyxel 在 2024 年度 CRN® 科技創新獎中獲得殊榮
Zyxel USG FLEX 700H 被 CRN® 評為最佳中小企業網路安全解決方案 我們非常高興能與大家分享這個激動的消息!Zyxel 的 USG FLEX 700H 被《CRN®》(The Channel Company 旗下品牌)評選為 2024 年最佳中小企業網路安全解決方案。這項殊榮肯定Zyxel 一直以來致力於提供頂級、創新且值得信賴的網路安全解決方案的努力。 https://www.crn.com/news/channel-news/2024/the-2024-tech-innovator-awards?page=30 為什麼 Zyxel USG FLEX 700H 能脫穎而出 USG FLEX 700H…
-
防火牆規格表_Nebula (ZLD5.37)
設備會依據型號不同,而有規格上的差異。 本地管理的規格可從user guide 的附錄上查到不同型號的規格數量. 設備上雲後的規格可參考下列規格表 (備註:Nebula 沒有物件的概念,所以沒有物件數量上的差異,但單一筆條例來源/目的可設定10筆物件數量) Model Name USG20-VPN USG20W-VPN USG FLEX 50 USG FLEX 50AX USG FLEX 100 USG FLEX 100W USG FLEX 100AX USG FLEX 200 USG FLEX 500 USG FLEX 700 ATP100 ATP100W ATP200 ATP500 ATP700 ATP800 Interface…
-
USG FLEX H 系列防火牆:DDNS 與 IKEv2 VPN 遠端存取完整教學
前言 若希望從外網連回內部存取資料,使用者需要與防火牆建立 VPN 通道,才能透過此通道存取內網資料。防火牆通常需要固定外網 IP 以便外部用戶建立 VPN。但有時候,客戶可能無法申請固定 IP,此時可以參考本教學,使用 DDNS 將浮動 IP 與固定域名綁定。這樣即使外網 IP 變更,外部使用者依然能成功與防火牆建立 VPN,並且順利存取內部資料。 什麼是 DDNS? DDNS(動態域名系統)是一種技術,用於將動態變化的 IP 地址與固定域名綁定,適合使用動態 IP 地址(如家庭或小型辦公室網路)的用戶。以下是DDNS的簡單介紹: 工作原理: DDNS服務會不斷監測你的IP地址變化。…
-
3500 名專業人士票選 Zyxel 為「網路防火牆」冠軍品牌
https://itwelt.at/news/topmeldung/security-champions-bestechen-durch-innovation-und-service/ 「2024年安全解決方案-專業使用者評比」(Security Solutions 2024 – Professional User Rating)最近公布相關結果,Zyxel 被列為「網路防火牆」類別的冠軍之一!這份評比調查超過 3,500 位專業商業資安用戶,並讓他們評估對於各大資安產品與解決方案的滿意度。…
-
防火牆忘記密碼該怎麼辦?
前言 本篇文章透過完整的操作步驟,向您說明,當防火牆密碼遺失,該如何處理,才能保留原有設定檔,成功再次登入防火牆。 存取權限的恢復取決於您擁有的防火牆型號以及當前韌體版本。以下提供兩種方法,請您依照您的環境選擇操作方式 : 注意:無論採用哪種方法,您都需要使用 Console 電纜連接到設備進行操作。 若您尚未熟悉 Console 電纜操作方式,請參考此文章 : 掌握 CLI 操作:如何使用 Console 電纜和 SSH 方法1 : 重設管理員密碼 - 5.20 或更高版本的韌體(僅支援 VPN、USG FLEX、ATP 系列) 方法2 : 恢復設定檔 - 5.20 之前的韌體(或 USG/Zywall 系列)…
-
您的內容過濾服務可能失效的原因是什麼?
內容過濾服務(Content Filter)用於保護企業免受不良的網站內容影響。它提供了幾個好處,因此,大多數IT人員會在網路基礎設施中部署此服務以達到以下目的: 封鎖對不良網路內容的訪問: 使用 Zyxel 的網站過濾服務(Web Filtering)進行精確的封鎖和過濾,該服務通過雲端資料庫不斷更新,以防範有害內容。 防範惡意和釣魚網站: 透過阻止對已知惡意網站的訪問,保護您的網路不受如釣魚、惡意軟體、攻擊工具包和命令和控制等網路威脅。 基於規則的控制(Policy-based control): 實施基於規則的控制來進行更細緻的封鎖和過濾。這一點可以說是相當重要,因為有許多惡意網站可以感染系統並植入病毒或間諜軟體。Zyxel…
-
Zyxel 防火牆發揮 WiFi 7 的無限潛力
Zyxel已將其先進的 AP 控制器(AP Controller, APC)技術應用於各種防火牆產品中。這使企業能夠輕鬆擴展其 WiFi 網路,並減少對網路的投資和管理工作。 透過最新的韌體版本 ZLD5.38,Zyxel 防火牆用戶現在可以充分發揮 WiFi 7 技術的全部潛力,提供前所未有的速度、可靠性和效率。 在此更新之前,即使使用 WiFi 7 無線基地台,用戶也受限於 WiFi 6 的性能。這個限制意味著用戶無法充分利用其硬體的先進功能和能力。但是,隨著 ZLD5.38 的發布,這一切都將發生變化。 性能提升: 告別限制。我們的新韌體實現了與WiFi 7無線基地台的無縫相容,讓用戶體驗下一代無線連接。 未來趨勢: 支援WiFi…
-
ZLD5.38 帶來什麼新的防護?
資安是一個持續改進,不斷強化的過程,Zyxel持續不斷檢視產品,透過韌體更新來進行硬體重要 維護,此版本強化了資安設備的許多功能: 強化功能和錯誤修復 強化功能 AP 控制器 (APC) 支援 WiFi 7 技術,提供前所未有的速度、可靠性和效率 ADP 白名單增加協定異常項目 IP Repution 中 SecuReporter 白名單新增最後更新時間,讓管理者了解清單是否更新 功能變更 不再支援使用弱式雜湊演算法(MD5 或 SHA1)簽署的憑證 首次登入後禁止將“admin”帳戶的密碼設定為“1234” 將 USG20(W)-VPN 和 USG FLEX 50 裝置的預設 SSL VPN 支援數提升至15台 錯誤修復清單…
-
未來網路趨勢:在ZYXEL防火牆實現IPv6功能的詳細教學
前言 在現代互聯網中,IPv6 已經成為不可或缺的一部分,若您是中華電信 PPPOE 的用戶,目前預設值已經支援 IPv6 功能,為了跟上這個趨勢,ZYXEL 特地製作了本篇文章讓用戶在 PPPOE 連線下啟用IPv6。本文將指導您如何在 ZYXEL 防火牆正確配置 IPv6,以便您能夠享受到更快速和更安全的互聯網體驗。 備註 : 本篇文章截圖畫面使用 ATP200 V5.37(ABFW.2) IPv6 簡介 了解IPv6的重要性可以幫助人們更好地理解網路技術的演進和發展方向,以及如何更好地利用IPv6來構建更安全、更穩定和更具彈性的網路環境。…
