-
USG FLEX 100H 遠端存取 IKEV2 VPN 設定教學
前言 以往若希望從外網連回內部存取資料,都是透過 L2TP VPN,但由於安全性等問題,部分系統已經不支援此功能,因此需要改用新功能 IKEV2 VPN。 USG FLEX H系列防火牆支援遠端存取 IKEV2 VPN 設定,讓遠端使用者可以快速設定 VPN 存取公司內部資料。 本篇文章向各位展示遠端存取 IKEV2 VPN 設定精靈操作步驟以及終端使用者 VPN 設定操作步驟 範例架構: 設定步驟 請依照以下設定步驟,正確完成 IKEV2 VPN 設定。 步驟1. VPN>IPSec VPN> 用戶遠端存取 開啟圖中紅框處 步驟2. 設定參數…
-
USG FLEX H 系列防火牆設定檔維護
概述說明 設定檔為設備運作時所套用的檔案。您可以直接套用設定檔而不用重開機,也可以下載後透過文字編輯器來編輯修改,修改完後再上傳到設備上來套用。故您可以定期或因需求來將設定檔保存備份,以利設備故障時可以還原。 *設定檔的副檔名為.conf的副檔格式 *套用設定過程中請勿關閉設備 設備開機時的套用設定檔流程…
-
USG FLEX 100H NAT 設定教學
USG FLEX H 系列迎來全新的介面,此篇教學為新防火牆介面如何設定NAT教學。 NAT 功能簡介 由於 IPv4 公共 IP 的不足以及資安考量,一般的網路環境都是使用防火牆 WAN 介面連接電信業者數據機取得公共 IP 位址,其餘網路設備則串接在防火牆 LAN 介面底下,並且取得私有 IP 位址。 然而私有 IP 遇到的問題是外網的連線無法直達,因此需要透過 NAT 功能,讓防火牆將連線到 WAN 公共 IP 位址的封包轉送給內部 Server 。 以下為各位介紹防火牆 NAT 功能的設定步驟 : 設定情境 1.首頁 > 網路 > NAT > 按下新增 2.填入設備資訊,並按下套用(安全性策略可以稍後再設定) 3.完成後顯示…
-
您知道使用入門級產品也可以實施雙 WAN 嗎?
USG FLEX 系列長期以來一直受到中小型企業的青睞,這些企業需要一個可以平衡多個網路連線的可靠安全閘道。 儘管是入門級產品,例如:ATP100(W)/USG FLEX 50/50AX/100(W)/100AX/USG20(W)-VPN,但您可以使用 SFP 或 OPT 連接埠來新增第二個外網介面連線。 在本文中,我們將詳細了解如何將 OPT 介面轉換為 WAN 介面以及雙 WAN 的好處。 雙 WAN(廣域網路)是一種網路配置,涉及同時使用來自不同網路服務供應商或來源的兩個單獨的網際網路連線。 此設定具有多項優點,在商業和家庭網路環境中尤為重要: 1. 負載平衡和增加寬頻: 雙 WAN 的主要優點之一是負載平衡。…
-
防火牆網頁認證功能如何使用 Google 二階段認證
功能介紹 自 USG-Flex / VPN 和 ATP 韌體版本 v5.00 起,您可以透過 Google Authenticator 使用二階段認證。本篇文章將引導您完成使用身份認證和 Google 二階段認證的網頁認證設定。 為防火牆網路認證新增額外的兩步驟使用者身份驗證 Google 驗證 APP 可在手機離線環境中使用 如下圖,有線用戶除了經過網頁身分認證,需要再通過 Google 二階段認證才可以正常傳輸資料。 設定步驟 請參考以下設定流程,正確配置網頁認證搭配 Google 二階段認證。 步驟1 - 登入防火牆 開啟瀏覽器,輸入設備的 IP 位址和管理員帳戶來登入設備。 步驟2 - 啟用網頁認證 前往 設定 > 網頁認證 >…
-
防火牆高可用性 [HA Pro]功能 - 如何設定新版韌體防火牆設備的 HA Pro
導言 這裡將會協助您在 Zyxel 防火牆上設定 Device HA Pro。Device HA Pro 功能以前要透過授權證(license)來授權啟動,但現在已經開放不用再多此步驟。如果您的裝置仍需要授權證(license)來授權的話,這表示此裝置尚未採用最新韌體 [USG FLEX、ATP],可先將該裝置做韌體更新後再使用Device HA Pro 功能。 Device HA Pro 的行為包括一個心跳鏈路連結,是用於監控兩台防火牆 “啟動” 設備的介面狀態。如果其中一個受監控的介面下線或發生故障,「被動」設備的狀態將變為“啟動”。(也就是HA pro系統中只會 “啟動” 一台設備的狀態。)…
-
透過 SecuExtender SSL VPN 提升遠端存取功能
在不斷發展的遠端連接世界中,VPN 已成為企業和個人不可或缺的工具。 在本文中,我們將深入探討 SSL VPN 的重要性,探討為什麼它比 IPSec VPN 更受青睞,並總結 SecuExtender 的產品亮點和相容性。 什麼是SSL VPN? 安全通訊端層虛擬專用網路(SSL VPN) 是一種安全加密的協議,使用戶能夠透過網際網路在其裝置和專用網路之間建立安全連線。它使用SSL/TLS 協定建立用於傳輸資料的安全通道,確保機密性和完整性。SSL VPN 提供靈活且用戶友好的遠端存取方法,允許用戶從任何位置進行連接,同時保持嚴格的安全措施。 為什麼人們喜歡使用SSL VPN而不是IPSec VPN? SSL VPN…
-
如何使用 Gmail 電子郵件發送設備日報表、事件日誌?
前言 在日常的網路管理中,定期接收防火牆的日報表和事件日誌,能讓管理者隨時掌握系統健康狀況並快速處理潛在風險。USG FLEX 防火牆支援使用 Gmail 作為 SMTP 伺服器來發送這些通知,讓管理者能夠簡化監控流程並提高管理效率。本篇教學將詳細說明如何設定防火牆,透過 Gmail 發送設備的日報表和事件日誌。 設定步驟 請依照以下設定步驟,啟用 Gmail SMTP 步驟1 - 進入 Google 帳戶設定頁面 步驟2 - 啟用兩步驟驗證 如下圖,前往安全性 > 登入 Google 的方式 > 兩步驟驗證,將兩步驟驗證啟用。 步驟3 - 啟用應用程式密碼 於上方搜尋欄位輸入"應用程式密碼",點選搜尋結果"應用程式密碼"。 步驟4 -…
-
客戶反應網路不通,但是到底哪裡不通?
客戶反應網路異常,時常都只有短暫幾分鐘。當下網管人員通常都不會在現場,無法及時查看故障原因,有時候到現場問題又不會出現,使用者的回饋也只有網路不會通,但網路異常的可能性有非常多種,如何才能快速地鎖定問題呢?本次課程向各位介紹故障檢測的小工具,只要使用者在故障當下執行程式,電腦就能自動蒐集網路相關資訊產生log檔,網管人員一看就能知道問題點,甚至不用到現場就能排除障礙。 子網路計算工具: Zyxel…
-
NAT 障礙排除教學
什麼是 NAT ? 介紹 NAT 障礙排除步驟之前,我們首先需要簡單說明 NAT 是什麼? NAT 功能其實非常簡單,當防火牆接收到外網封包,連接特定的 IP 、服務 Port ,透過 NAT 規則將封包轉送給內部 Server,即為 NAT 運作過程。 如下圖範例 : 外部使用者連接 125.230.236.132 服務 Port 3001 防火牆收到封包後,將此封包轉送給內部伺服器 192.168.1.33 的服務 Port 3001 伺服器透過防火牆路由傳回外部使用者,即可成功連上伺服器。 NAT 詳細設定教學請參考文章 : NAT設定教學 虛擬伺服務器和 1:1 NAT 有什麼區別? NAT 障礙排除步驟 透過 NAT…
-
防火牆 Geo IP 功能介紹
Geo IP 是什麼? Geo-IP 為國家地理位置位址物件,可讓您封鎖來自特定國家/地區的網路流量,這將允許您封鎖通常比較可疑/眾所周知是惡意攻擊來源的國家。在網際網路開放的世界中,這一點變得特別重要,而另一方面,也可能存在著多種出於經濟和政治動機的衝突。 注意:Geo-IP 功能曾經是內容過濾器的一部分,因此需要授權才能使用。但是,自從韌體 v5.02 (ATP / USG FLEX) 和 v4.65 (USG / ZyWall110/310/1100) 起,此功能已作為免費功能,無需額外費用即可獲得強大的的安全功能! Geo IP 設定教學 在以下的設定範例中,我們將展示如何阻止來自特定國家/地區的流量…
-
Zyxel 防火牆支援 SafeSearch
前言 SafeSearch是一種類似Google SafeSearch功能,主要提供更安全的瀏覽體驗,特別是用戶希望避免有露骨或不當內容出現在工作場所或教育環境裡。在ZLD5.37版本中,Zyxel防火牆支援Google、YouTube和Microsoft Bing的SafeSearch功能,以實現更安全的瀏覽體驗。 Google SafeSearch是什麼? 啟用SafeSearch時,Google的搜尋演算法會從搜索結果中過濾掉不雅的圖像、視頻和網站。它有助於防止訪問可能含有性內容、暴力或其他不適當的內容。 SafeSearch特別適用於任何需要高度限制瀏覽體驗的環境。 SafeSearch和內容過濾的差異性?…
-
五眼聯盟:駭客攻擊最近兩年揭露的漏洞成功率最高!
您還沒升級防火牆的最新韌體版本 - ZLD5.37 嗎? 根據五眼聯盟的研究指出,駭客攻擊最近兩年揭露漏洞的成功率最高,此外,駭客也傾向於鎖定嚴重且部署廣泛的系統漏洞,我們希望藉此呼籲,讓大家趕快進行設備韌體升級。韌體是我們設備中的重要元件,它影響著設備的性能、安全性和功能。 不要讓過時的韌體,導致駭客有機可趁! 此最新版本 ZLD5.37 增強了防火牆的全方位功能,包括使用 Nebula Cloud 監控模式進行網站範圍的管理,支援 Google 安全搜索篩檢程式以阻止不當內容,以及網路高級服務。立即升級以享受最新功能和更好的性能。 更新您的防火牆韌體 防火牆韌體升級教學請參考此連結 :
-
Nebula CC - 雲端監控模式 Cloud Monitor mode【混合雲/單機模式】
合勤科技很高興推出雲端監控模式,這是一種針對防火牆 SA 類型新的副管理選項。這一創新功能結合了本地和雲端管理模式的優勢,為用戶提供增強的靈活性和集中管理功能。在本文中,我們將探討雲端監控模式的主要優勢,並提供其安裝和使用指南。 本文解釋了什麼是雲端監控模式以及為什麼使用它。此外,如何為您的 USG FLEX / ATP 系列防火牆安裝和部署雲端監控模式。另外,如何排查防火牆無法註冊為監控模式防火牆的原因、雲端監控模式的監控模式 ID 和設備所有權信息。 內文標題 1)什麼是雲端監控模式? 2)為什麼要使用雲端監控模式? 3)雲端監控模式指南 4)如何安裝部署 5) 故障排除 - 狀態和說明 6) 設備的所有權和組織清單 本文 :…
-
什麼是 Nebula 雲端監控模式?
當您的網路遷移到Nebula雲端環境時,要同時管理雲端和本地設備變得非常重要。例如,對於需要管理多個雲端和本地防火牆的經銷商來說,更新許多設備的韌體可能會讓他們頭痛不已。現在,Nebula提供了一個集中式平台,透過雲端監控模式能管理他們的設備和授權。 Nebula雲端監控模式支援韌體更新運作,遠端配置器,及設備配置備援/回復機制。透過Nebula控制中心,能夠讓您檢視Nebula管理設備和授權在某個地點的全站可視性。 *支援型號:運作於本地模式的USG FLEX、ATP 和 USG20(W)-VPN、USG FLEX H系列 (2023 Q4上市)。 *1: Nebula專業企業版包含存取遠端GUI、備份和還原防火牆配置。 主要功能:…
-
Zyxel 如何保持您 IP 監控設備的安全性
在物聯網時代,網路設備的安全事件始終被重視的一環。其中,網路攝影機(IP攝影機)的安全問題是最受關注的設備之一。儘管企業網路由於其規模較大且產生的影響更深,因此可能成為主要攻擊目標,但小型和中型企業(SMB)甚至個人用戶在網路攝影機的安全問題上也存在風險。 近年來,有多起網路攝影機被利用做為僵屍網路的工具,用來發動分散式阻斷服務攻擊(DDoS)。網路攝影機容易受到利用的主要原因是使用者或製造商的安全意識不足。某些常見的安全事件包括: 預設帳密: 許多網路攝影機在出貨時帶有預設的使用者名稱和密碼,而通常使用者不會去變更這些預設帳密。如果預設的帳密未被修改,攻擊者可以輕易地識別這些設備並獲得未經授權的訪問。 老舊韌體:…
-
減少網路攻擊面的7個簡易方式
保護您的網路一直是Zyxel的首要任務,我們的安全專家與全球網路安全研究人員致力合作,來處理和偵測可能影響我們產品安全的潛在漏洞。在這篇文章中,我們分享了7個簡單的方法,可以幫助您的設備減少遭受網路攻擊。 1.阻止從外部存取網路防火牆管理介面 當您在安全範圍之外時,請不要開放管理介面,再次檢查您的主動存取控制策略,以確保在您的網路防火牆中正確配置嚴格的存取控制策略。封鎖您的網路防火牆所使用的協定包括HTTP、HTTPS、PING、SSH、SSL VPN和TELNET。或者,您可以部署雲端管理的防火牆,這樣就不會直接對防火牆設備進行管理存取,從而避免防火牆的安全漏洞。 2.如果您沒有使用VPN,請關閉此功能…
-
USG FLEX/ ATP 系列防火牆 遠端存取 IKEV2 VPN 設定教學
功能說明 USG FLEX/ ATP 系列防火牆在 5.20 版本支援遠端存取 IKEV2 VPN 設定精靈,讓遠端使用者可以快速設定 VPN 存取公司內部資料。 本文向各位展示遠端存取 IKEV2 VPN 設定精靈操作步驟以及終端使用者 VPN 設定操作步驟 於 ATP/USG FLEX 防火牆設定 VPN 1.登入 USG-FLEX/ATP 的網頁管理介面,點擊“快速設置”,選擇“Remote Access VPN Setup”進入VPN設定精靈模式。 2.選擇Zyxel VPN Client (SecuExtender IPSec). 3.設定 VPN 認證參數 選擇 VPN 連接的 WAN 介面 設定 VPN 憑證…
-
在已經同步的HA Pro 裝置上如何去升級韌體版本?
前言: 這例子說明將已經同步的HA Pro裝置如何去升級韌體版本從4.35(ABFU.0) 到4.35(ABFU.2) 提醒:在文章中所使用到的IP位址及網路遮罩是當此例子使用,請使用你真實在使用的網路IP位址.若要套用請適當調整你網路設定.這例子所使用的測試設備是ATP500(韌體版本:ZLD 4.35) 如何設定設備HA Pro可直接點擊連結 升級韌體版本流程: 步驟 1 : 確認“啟用”設備及“被動”設備正在執行的韌體版本是相同的 步驟 2 : 確認“啟用”設備及“被動”設備正在執行的韌體版本是在相同的分割區中 步驟 3 : 確認在“啟用”設備及“被動”設備上已經使用heartbeat…
-
防火牆在NAT設備後面,如何建置Site-To-Site VPN?
情境: 當既有的客戶設備無法異動,又需要建立Site-To-Site VPN時.以往這樣的情況 就很困擾…以下分享這樣的情境下如何不動到客戶設備又可以建立Site-To-Site VPN (Note:範例為示範behind nat 建立site to site vpn的方式,如有其他連線需求就有可能需要再建立靜態路由來完成) 架構示意圖: 總公司設定: 1.點選左邊的快速設定,再點選VPN設定 2.選擇IKEv2 ,並選擇遠端存取(伺服器角色) 3.選擇WAN的介面,並輸入共用金鑰與要互通的總公司網段. 4.設定完後會有摘要設定,若無需調整設定,點選儲存即可. 分公司設定: 1.一樣選擇左邊快速設定後,選擇遠端存取(用戶端角色)…
