ZyXEL 的 USG系列 UTM 防火牆 4.33版於 2019年一月十日發佈,主要針對漏洞修補與錯誤修正,詳細內容請繼續閱讀。
安裝前注意:
1. 系統預設配置總結如下:
> 預設設備管理用戶名為“admin”,密碼為“1234”。
> 預設LAN接口為lan1,前面板為P4端口。 lan1的預設IP地址是192.168.1.1/24。
> 預設情況下,只能從LAN子網訪問WWW / SSH / SNMP服務。
> 預設WAN接口為wan1,輔助WAN接口為wan2。默認情況下,這兩個接口將使用DHCP自動獲取IP地址。
> 對於新型號,需要連接myZyxel才能完成設備註冊和安全服務激活。
2.在升級到ZLD4.33之前,建議先升級到ZLD4.30 C0或更高版本。
3.請注意我們對下載最新的USG防火牆韌體進行了一些更改,有關最新的固件下載說明,請參閱:固件升級服務指南。
4.建議用戶在升級韌體之前先備份“startup-config.conf”文件。如果用戶想要降級到較舊的韌體版本,則可以使用備份配置文件。
5.降級到以前的韌體版本會導致配置丟失並應用配置失敗。
在降級之前請:
(1)備份當前的“startup-config.conf”文件
(2)對正在運行的分區執行降級
(3)重置為默認值
(4)上傳並應用以前的韌體版本備份配置。
6.如果用戶從先前發布的韌體升級到此版本,則無需還原到系統默認配置。
7.當通過GUI進行配置時出現問題(彈出java腳本錯誤等)時,建議先清除瀏覽器的緩存並再次嘗試配置。
8. Firefox將從用戶上次離開使用條款頁面的最後位置開始。
9.更改“使用條款”的語言選擇框以獲取新PDF時,使用瀏覽器Firefox有時會發生刷新PDF失敗。建議在發生情況時清除瀏覽器的緩衝。
10.要將設備重置為系統默認值,用戶可以按RESET按鈕5秒鐘,設備將自行重置為系統默認配置,然後重新啟動。
注意:重置後,原始配置將被刪除。建議在此操作之前備份配置。
11.如果韌體升級後ZyWALL / USG無法成功重啟,請參考附錄3:韌體恢復。
12.如果您使用WK版本,請聯繫當地支持團隊獲取升級信息。
13.為了確保您的防病毒簽名能夠正確更新,如果您使用的是ZLD4.31(或更新版本)的LIC-BAV許可證,並且想要降級到以前的ZLD 4.30(或更低版本)韌體版本用於特殊目的,請請首先聯繫您當地的支持團隊獲取技術支持,聯繫信息請參閱Zyxel支持中心頁面(https://www.zyxel.com/support/support_landing.shtml)。
----------------------------------------------------------
V4.33中的增強與修正的功能:
1. [增強] [GUI]在 My certificate 頁面添加下載圖標,只有管理員可以下載
2. [Bug Fix] eITS#180100106,180900565
某些SSL VPN子網路遮罩設置方法可能會導致SSL VPN連接問題。
3. [Bug Fix] eITS#180300552
當反垃圾郵件被啟用時,日誌中有一條消息“Mail sessions have reached the maximum threshold of 200”。
4. [Bug Fix] eITS#180500318
在某些情況下,從Web GUI或CLI重新啟動設備可能會失敗。用戶關閉電源並重新啟動電源。
5. [Bug Fix] eITS#180500506
nterface名稱更改將不會同步到 Device HA pro passive 設備。
6. [Bug Fix] eITS#180500963
通過 WebGUI 重新啟動 Device HA pro active設 備時,passive 設備也將重新啟動。
7. [Bug Fix] eITS#180501192
修復設備穩定性問題。
8. [Bug Fix] eITS#180600668
CNA100遠程訪問HTTPs問題。
9. [Bug Fix] eITS#180700145
無法保存更改的SMTP身份驗證用戶名。
10. [Bug Fix] eITS#180700348
BWM配置導致設備啟動失敗回滾到“lastgood.conf”。
11. [Bug Fix] eITS#180701378
如果新密碼以“$$”字符開頭,則無法保存更新的密碼。
12. [Bug Fix] eITS#180800824
TCP行為改進。
13. [Bug Fix] eITS#180800840
無法保存“Active Directory”功能的配置更改。
14. [Bug Fix] eITS#180900203
使用外部AD服務器進行身份驗證的SSL VPN無法正常工作。
15. [Bug Fix] eITS#180900228
Facebook wifi連接期限未按規定運行。
16. [Bug Fix] eITS#180900755
Facebook WIFI故障。
17. [Bug Fix] eITS#181000303
使用SecuManager為ATP產品建立群組設定時超時。
18. [Bug Fix] eITS#181000655
當設備重新啟動時,即使配置未更改,SecuManager也會自動備份受管設備。
19. [Bug Fix] eITS#181001141
SSL VPN隧道中的RDP會話丟失。
20. [Bug Fix] eITS#181001198
路由跟踪故障。
21. [Bug Fix] eITS#181100177
capwap守護程序不斷生成配置文件並佔用內存。
22. [Bug Fix] eITS#181100380
SSO功能故障。
----------------------------------------------------------
設計限制:
APP Patrol
1. [SPR: 140425359, 140425375]
[狀況]如果設定僅阻止瀏覽器(例如Chrome,IE),則可能不會生效,因為“user access website”具有更高的匹配優先級。
DNS
1. [SPR:150122977]
[狀況] DNS安全選項將拒絕設備本地輸出DNS查詢
[條件]
A. 編輯DNS安全性選項的自定義規則,並將查詢遞歸設置為拒絕。
B. 如果設備的WAN IP地址在自定義地址範圍內,則設備本地輸出DNS查詢將被拒絕。
GUI
1. [SPR: 171030438]
[狀況]IE瀏覽器將在訪問隱私聲明相關頁面時將會進行下載,而不是在瀏覽器上閱讀。
Interface
1. [SPR:170628894]
[狀況]
[LAG]當鏈路監控方法為ARP時 active 與 slave 始終在ge1和ge2之間以主動備份模式相互切換。
[解決方法]
建議使用MII監測方法。
IPSec VPN
1. [SPR:070814168]
[狀況]
在以下情況下無法建立VPN隧道:
A. 非ZyWALL / USG對等網關重啟
B. ZyWALL / USG之前已經建立了phase 1的對等網關,phase 1尚未到期。
在這些條件下,ZyWALL / USG將繼續使用之前的 phase 1 SA來協商 phase 2 SA。這將導致 phase 2 協商失敗。
[解決方法]
用戶可以在ZyWALL / USG中禁用並重新啟用 phase 1 規則,或者打開 DPD 功能來解決問題。
2. [SPR:100429119]
[狀況]
可能使用不正確的VPN網關建立VPN隧道
[條件]
A. 在兩個ZyWALL / USG上準備2個ZyWALL / USG並重置為出廠默認配置
B. 在ZyWALL / USG-A上:
創建2個WAN接口,並將WAN1配置為DHCP Client
創建2個VPN網關。 “My Address”配置為接口類型,分別選擇WAN1和WAN2
相應地創建2個名為VPN-A和VPN-B的VPN連接,綁定在我們剛創建的VPN網關上
C. 在ZyWALL / USG-B上
創建一個WAN接口
創建一個VPN網關。主對等網關地址配置為ZyWALL / USG-A的WAN1 IP地址,輔助對等網關地址配置為ZyWALL / USG-A的WAN2 IP地址
D. 將ZyWALL / USG-B的VPN隧道連接到ZyWALL / USG-A,我們可以看到在ZyWALL / USG-A上連接了VPN-A
即拔掉ZyWALL / USG-A上的WAN1線纜
F. 在ZyWALL / USG-B上觸發DPD後,將再次建立VPN連接
G. 在ZyWALL / USG-A上,VPN-A已連接。但實際上ZyWALL / USG-B應該在第5步之後連接到VPN-B。
[解決方法]
將ZyWALL / USG-A的WAN1設置更改為靜態IP
3. [SPR:140304057]
[狀況]
在通過IPSec停用GRE之後,如果流量連續流動,則可能保留舊連接。 這可能是由舊連接限制的流量引起的。
[解決方法]
停止流量180秒,內部連接記錄將超時。
4. [SPR:140416738]
[狀況]
如果已經存在相同的連接,則忽略不進行片段設置不能立即生效。
[解決方法]
停止流量180秒,內部連接記錄將超時。
5. ZyWALL / USG上配置的以下VPN網關規則無法配置到IPSec VPN客戶端:
A. IKEv2版本的IPv4規則
B. IPv4規則使用基於用戶的PSK身份驗證
C. IPv6規則
SSL VPN
1. SSL VPN客戶端(SecuExtender)支援:Windows 7/8/10和Mac OS 10.7或更高版本。
L2TP VPN
1. [SPR:N / A]
[狀況]
Android設備 L2TP連接有時會中斷。 這個問題來自L2TP Hollow數據包不會被Android系統回复。
User Aware
1. [SPR:070813119]
[狀況]
設備支持通過創建包含AAA服務器(LDAP / AD / Radius)的AAA方法遠程驗證用戶。 如果用戶使用存在於2個AAA服務器中的帳戶並在AAA方法中為後一個AAA服務器提供正確的密碼,則驗證結果取決於前AAA服務器的內容。 如果前一個服務器是Radius,則將授予身份驗證,否則將拒絕該身份驗證。
[解決方法]
避免在方法中的AAA服務器中使用相同的帳戶。
IPv6
1. HTTP / HTTPS不支持IE7和IE8中的IPv6鏈接本地地址。
2. Windows XP默認MS-DOS FTP客戶端無法通過iPv6鏈接本地地址連接到設備的FTP服務器。
3. [SPR:110803280]
[狀況]
使用IPv6時,Safari無法使用HTTPS登錄Web
4. [SPR:110803293]
[狀況]
使用IPv6時,Safari無法將http重定向到https
5. [SPR:110803301]
[狀況]
將Web更改為System> WWW時,使用IPv6 http登錄的Safari,會彈出註銷消息。 (必須啟用HTTP重定向到HTTPS)
Anti-Spam
1.不支援 SMTPs , STARTTLS, POP3s, SMTP 擴展命令 - BDAT
MAC Authentication
1. [SPR:150127103]
[狀況]
客戶端使用Internal MAC-Auth 連接Auth。 服務器無法成功獲得IP。
[解決方法]
在受監控接口的交換機和網關側設置 short ARP timeout。
SecuExtender
1. Windows 7用戶尚未完成Windows更新之前可能有SecuExtender虛擬網絡接口卡檢測問題。
[解決方法]
建議在安裝SecuExtender之前安裝所有Windows安全更新。
-------------------------------------------------------------------------------------
V4.33已知問題:
注意:這些已知問題代表了目前發布版本的預定修復問題。 我們已經計劃在未來版本中修復它們。
IPSec VPN
1. [SPR: 120110586]
[Symptom]
When set IPSec VPN with certificate and enable x.509 with LDAP, the VPN session must dial over two times and the session will connect successfully
2. [SPR: 140317624]
[Symptom]
DUT fails to fall back using primary WAN port when all DUT WAN’s IP address were same subnet.
3. [SPR: 140818615]
[Symptom]
After Enable and Disable NAT rule, IPSec VPN traffic cannot forward to LAN subnet immediately.
[Condition]
1. Topology:
PC1 ---LAN1 USG60W WAN1 ---- WAN1 USG60 LAN1 --- PC2 & PC3
2. USG60W
WAN1: 10.1.4.45/24
WAN2: 192.168.9.x/24 (Can reach to 172.23.x.x network through NAT router.)
LAN1: 192.168.181.x/24
PC1: 192.168.181.33
3. USG60
WAN1: 10.1.6.79/24
LAN1: 192.168.1.1/24
PC2: 192.168.1.33
PC3: 192.168.1.34
4. USG60 sets a policy route, src=192.168.1.0/24, dst=172.0.0.0/8, next-hop=VPN tunnel
USG60W sets
1. policy route, src= 172.0.0.0/8, dst=192.168.1.0/24, next-hop=VPN tunnel
2. policy route, src=192.168.1.0/24, dst=172.0.0.0/8, next-hop=WAN2
5. PC2 ping 172.23.x.x is OK
6. Add a 1:1NAT rule which is from WAN1 10.1.6.79 mapping to 192.168.1.34 (PC3) on USG60.
7. PC2 ping 172.23.x.x will fail now.
8. Disable 1:1 NAT rule.
9. PC2 still cannot ping to 172.23.x.x.
*Need to reboot device or wait several minutes, it works.
4. [SPR: 141209575]
[Symptom]
IPSec VPN tunnel sometimes can be built up while initiator and responder devices use CA with the same subject name in IKE authentication. This tunnel should not be allowed to build.
5. [SPR: 160106369]
[Symptom]
To set up Local ID type in “DNS” mode at Advance setting under IPSec > VPN Gateway > Edit or Add page to make sure the Certificate works normally.
[Workaround]
If you are using certificate under the other modes, please go through VPN wizard then login again to VPN Gateway GUI page to modify the setting.
6. [SPR: 171115186]
[Symptom]
VPN pre-share key cannot accept some special characters from SecuManager Server.
IPv6
1. [SPR: 131226738]
[Symptom]
Only one prefix delegation can be added in IPv6 address assignment.
App Patrol
1. [SPR: 140605136]
[Symptom]
[App Patrol]Cannot block Skype off-line message
2. [SPR: 160322066]
[Symptom]
Ultrasurf can't be blocked by App Patrol.
3. [SPR: 170317753]
[Symptom]
[App Patrol][LOG] Log of FTP App Patrol was different with previous signature version
4. [SPR: 180509277]
[Symptom]
Use Chrome can't reject/drop the social networks ”Facebook” application.
5. [SPR: 180517532]
[Symptom]
Can't drop & reject ”Yahoo mail” application and no logs.
SSL VPN
1. [SPR: N/A]
[Symptom]
Windows 7 users cannot use SSL cipher suite selection as AES256.
[Workaround]
You can configure Windows cipher with following information http://support.microsoft.com/kb/980868/en-us
2. [SPR: 160309776]
[Symptom]
GUI login can't auto connect/disconnect new SecuExtender tool in windows.
3. [SPR: 160324728]
[Symptom]
OWA (Outlook Web Access) will display incorrectly by using IE10.
4. [SPR: 170830303]
[Symptom]
File sharing and reverse proxy mode with Google Chrome may not work.
[Workaround]
You can use other kinds of browsers.
System
1. [SPR: 130207529]
[Symptom]
When change SSH, Telnet and FTP Service default port, the connect session still exist.
2. [SPR: 160420343]
[Symptom]
USG310/1100/1900 and ZyWALL 310/1100 Interface up time counter will not reset after link down. For example, the ge1 port uptime shows 41 second and inactive ge1 port (link down). The next link up time should re-count from 00:00:00, but after link up, the uptime continues count from 41 second.
Anti-Virus
1. [SPR: 150522817]
[Symptom]
Upload Virus file by HTTP or Emails, the virus can be corrected detected and destroyed but the file name may be truncated in system log if the file name contains SPACE:' ', SEMICOLON: ';' or DOUBLE-QUOTE: '"'.
2. [SPR: 150603299]
[Symptom]
Virus-infected mail sent via IMAP protocol cannot be detected effectively.
3. [SPR: 160329211]
[Symptom]
Upload file with virus to Dropbox or Google Drive cannot be detected.
4. [SPR: 170210431]
[Symptom]
Use Thunderbird to be a mail client send virus mail (SMTP), UTM cannot detect virus, but virus can be detected when mail client exchange to MultiMail (SMTP).
5. [SPR: 161019640]
[Symptom]
Anti-virus cannot detect uuencode eicar virus
IDP
1. [SPR: 170919289]
[Symptom]
When adding an IDP Profile and click “Search” button will cause GUI hang or take a long time to display the result by IE browser.
SSL Inspection
1. [SPR: 160620353]
[Symptom]
LAN PC cannot use management IP to access Device HA Pro backup device GUI when match SSL Inspection policy.
[Workaround]
Set up another security policy to bypass.
Wireless
1. [SPR: 150701137]
[Symptom]
Try to manage too many external APs over service/license count may cause capwap_srv daemon dead.
2. [SPR: 151119567]
[Symptom]
When AP firmware fails to synchronize with cloud server, alert log will display frequently
3. [SPR: 151208470]
[Symptom]
When AP firmware download failed from cloud server, exist AP firmware will be deleted and GUI show “to be downloaded” message at Configuration > Wireless >AP Management >Firmware page.
4. [SPR: 151203302]
[Symptom]
It takes 30 seconds or above to update the AP controller information when using Zyxel Wireless Optimizer (ZWO) tool to monitor the status.
5. [SPR: 170830306]
[Symptom]
[Station info] When client from 2.4G Wi-Fi to 5G Wi-Fi, the station info will show client connect to 2.4G Wi-Fi
Web Auth
1. [SPR: 161215730]
[Symptom]
[Billing] Guest B (Custom Fix IP) using same IP with Guest A and can access internet.
AP
1. [SPR: 160603272]
[Symptom]
AP traffic Tx/Rx value show incorrectly in Email Daily Report.
GUI
1. [SPR: 160411770]
[Symptom]
Go to Configuration > UTM Profile > IDP > Profile page, add a profile (e.g. name:2016USG) then back to the profile list select this rule and click “clone” you will find the background GUI profile name become the same as Clone Profile name before you apply.
2. [SPR: 160503266]
[Symptom]
It doesn't show logout IP after upgrade firmware to ZLD4.20.
3. [SPR: 170213467]
[Symptom]
Click “Buy” link will show 404 not found when enable HTTPS Domain Filter for HTTPS traffic.
4. [SPR: 170328262]
[Symptom]
Network risk warning information show null on ZyWALL series device
5. [SPR: 170323020]
[Symptom]
Exchange language setting, click MONITOR>>System Status>>Port Statistics start/stop button, it will show wrong language and need to click twice stop button to stop.
6. [SPR: 171103077]
[Symptom]
Firmware upgrade via GUI may lead to fail with the message “ajax communication failed”.
[Workaround]
Re-login can solve it.
7. [SPR: 171016187]
[Symptom]
Easy mode > click Network Client list button may cause page always loading status
Device HA
1. [SPR: N/A]
[Symptom]
Device-HA can't sync. AP firmware to backup device.
[Workaround]
Go to Configuration > Wireless > AP Management > Firmware page, click “Check” and “ Apply” button to manually download AP firmware for backup device.
Device-HA Pro
1. [SPR: 160226958]
[Symptom]
When the physical interface link down, the HTTP file downloading will terminate after failover to passive device.
2. [SPR: 160623509]
[Symptom]
Upgrade firmware from Active device and the upgrade process is to upgrade Passive device first. After Passive device finished firmware upgrade it will show device sync fail because of Active device is doing firmware upgrade and reboot.
3G Dongle
1. [SPR: 161215667]
[Symptom]
Budget set only download, action upload still has budget logs.
Single Sign On
1. [SPR: 171002024]
[Symptom]
SSO Agent on workstation and AD use windows 2016 server cannot work
SSO Agent version 1.0.6 cannot work as below:
AD windows 2016 server
Windows 7 x64
Windows 8.1 x64
Windows 10 x64
-------------------------------------------------------------------------------------
適用型號:
VPN50 / VPN100 / VPN300
ZyWALL 110 / ZyWALL 310 / ZyWALL 1100
USG20-VPN / USG20W-VPN / USG40 / USG40W / USG60 / USG60W
USG110 / USG210 / USG310
USG1100 / USG1900
USG2200-VPN
沒有留言:
張貼留言