【 2025 年 9 月 技巧與秘訣 】USG FLEX H 系列新版 Captive Portal:更安全、更低風險
Zyxel Employee
📌 概述
隨著我們新一代防火牆系列的推出,Zyxel 在 captive portal (網頁驗證) 功能上進行調整。此更新反映了現代資安的最佳實踐,希望 降低用戶網路基礎設施的潛在攻擊面。
🛡️ 背景:舊有行為
在 ZLD (舊版) 防火牆機型中,captive portal 設計用於支援以下兩種流量來源:
- LAN (區域網路) – 一般內部用戶的身份驗證
- WAN (廣域網路) – 部分情況下用於遠端用戶身份驗證
部分客戶利用此彈性,將 Captive Portal 與 NAT 端口轉發 結合使用。這使得位於本地網路外的用戶可透過公共 IP 存取內部資源,而 Captive Portal 則作為一層防護。
🚨 安全疑慮:攻擊面加大
雖然這樣的設定因為有網頁身份驗證看似安全,但實際上存在 重大安全風險:
- 繞過零信任原則,使未驗證的 WAN 使用者能暴露內部服務
- Captive Portal 並非基於加密的安全方式,可能導致資料外洩
- 擴大攻擊面,使內部資源可被外部網路探測到
此類行為違反業界標準安全最佳實踐,使本地網路環境更易受攻擊利用。
⚙️ USG FLEX H系列新防火牆的改變
為符合資安最佳實務,Zyxel 新一代防火牆產品限制 Captive Portal 僅適用於 LAN 流量。換句話說:
Captive Portal 現僅適用於來自 LAN 介面的流量,來自 WAN 的流量將不再通過 Captive Portal 處理。
此變更與舊版 ZLD 產品的行為不同,但卻是重大安全強化,幫助客戶打造更具韌性的網路。
👉 推薦替代方案:安全的遠端存取
對於需要從外部訪問內部網路資源的客戶(如遠端員工或行動用戶),Zyxel 強烈建議採用以下安全 VPN 協議:
- IKEv2 VPN – 適合行動客戶端及站點到站點通道
- SSL VPN – 透過瀏覽器或客戶端提供方便且加密的存取
這些協議提供端到端加密與強化身份驗證,設計目的是為了在不暴露內部 IP 與服務到公共網路的情況下,實現安全的遠端存取。
🔦 如果仍須使用 Captive Portal 處理WAN的流量?
若您的部署仍依賴 Captive Portal 處理來自 WAN 的流量(例如公共熱點或舊系統整合場景),請注意:
- H系列防火牆設計不再原生支援此功能
- 建議客戶避免此方式以維持安全合規
- 若此用途屬必要,請聯絡 Zyxel技術支援團隊進一步討論
💡 摘要
主題 | USGFLEX/ATP 系列行為 | USGFLEX H 系列行為 |
|---|---|---|
Captive Portal | LAN支援 LAN 與 WAN 流量 | 僅支援 LAN 流量 |
透過 WAN 存取內部資源 | 可搭配端口轉發及 Captive Portal,建議使用 VPN (IKEv2, SSL VPN) 保護存取 | 採用 VPN (IKEv2, SSL VPN) 確保安全存取and WAN traffic supported |
🚀 需要幫助?
欲了解轉換指引及遠端 VPN 設定教學,請參考 Zyxel 社群文章👇
