ZyXEL 的 USG Flex H 系列 資安防火牆是一款混合雲端與地端操作的新世代防火牆,其 V1.31 (Axxx.0) 版韌體 於 2025 年 01 月 09 日發佈,提供關於 19 項功能增強與變更、38 項錯誤修正,建議使用者盡快進行更新,詳細內容請繼續閱讀。
V1.31 (Axxx.0) 版韌體中的增強與修正的功能:
1. [增強] 支援設備 HA (主動-被動模式)。
2. [增強] 支援事件通知,發送事件和警報日誌的電子郵件。
3. [增強] 支援 Packet Flow 探索。
4. [增強] 支援 SIP ALG。
5. [增強] 支援基於策略的帶有 NAT 的站點到站點 VPN(NAT over IPsec)。
6. [增強] 支援 Nebula VPN。
7. [增強] 支援設備與 Nebula 無縫配置同步。
8. [增強] 支援Nebula防火牆介面設定。
9. [增強] 支援 Nebula 防火牆物件設定。
10. [增強] 支援 Nebula 自動回滾 WAN 功能(更換不同的 ISP)。
11. [增強] 支援鎖定使用者列表,允許管理員執行解鎖操作。
12. [增強] IPsec VPN Phase 2 現在支援位址物件選擇。
13. [增強] 增加 USB 記憶體已滿警告。
14. [增強] 支援 Recovery Manager,一鍵備份設定和憑證。
15. [增強] 可用性增強:
a. 在系統儀表板 > 系統中新增了「Nebula Status」。
b. 當有新韌體可用時,在系統儀表板>系統中新增雲端韌體下載圖示。
c. 在系統儀表板 > 連接埠中新增了斷開連接的圖例。
d. 為地址和服務對像新增了搜尋欄位。
e. 改進了 GUI 可用性,包括滾動條調整、DHCP 擴展選項提醒和介面表改進。
16. [功能變更] 更新重設按鈕行為,長按重設按鈕7秒以上將保留憑證和使用者配置。
17. [功能變更]「Drop SYN with Payload Pkt」的預設載重大小已修改為1位元組。 [eITS #240901862]
18. [功能變化] Application Usage/Traffic 無需許可證。
19. [功能變更] 更新郵件伺服器版面配置,包括預設寄件者和收件者信箱位址。
V1.31 (Axxx.0) 版韌體中的錯誤修復:
1. [eITS#240600109] 當 NAT 目標設定為任意時,NAT 規則會影響 VPN 流量。
2. [eITS#240801135] 即使 LAN 中僅連接少數客戶端,core0 和 core1 的 CPU 使用率也會很高。
3. [eITS#240801153] 如果防火牆運作幾天,記憶體使用量會逐漸增加。
4. [eITS#240801231] CF 服務將執行額外掃描,這可能會增加記憶體使用量並導致系統重新啟動。
5. [eITS#240801470] 如果 WAN (靜態 IP) 不在 Trunk 成員中,則本地輸出流量會失敗。
6. [eITS#240801545] 如果 HTTP 沒有內容長度標頭,則外部封鎖清單無法更新。
7. [eITS#240801656] 存取設備儀表板時,它仍處於載入狀態,且 Web GUI 中缺少安全性原則。
8. [eITS#240801699] Syslog 守護程式當掉,導致防火牆無法將 syslog 傳送到伺服器。
9. [eITS#240801798] 裝置運作約 5 到 10 天后,Web GUI 中不會顯示任何設定。
10. [eITS#240900150] USG FLEX 100H 有時沒有回應。
11. [eITS#240900509] 網路非常慢,GUI 無法載入。
12. [eITS#240900523] 設備升級到1.30版本後應用程式設定失敗。
13. [eITS#240901455] 防火牆將保留 CF 查詢,直到伺服器回覆防火牆。如果伺服器停止回覆或回覆緩慢,將會影響防火牆記憶體的佔用,並可能導致重新啟動。
14. [eITS#240901725] 啟用 DNS 網域掃描時出現穩定性問題。
15. [eITS#240901822] 無法刪除使用者設定檔組。
16. [eITS#241000324] DHCP 清單中的多個項目缺少 MAC 位址。
17. [eITS#241000471] 無法刪除空的使用者群組; GUI 變得無響應並且凍結。
18. [eITS#241000768] ZSDN 同步時 CPU 使用率會變高。
19. [eITS#241000983] 建立 VLAN 或乙太網路介面時彈出錯誤訊息。
20. [eITS#241001089] 在 DDNS 設定中,當主位址為「公用 IP」時,DDNS 更新狀態為「更新失敗」。
21. [eITS#241001229] 設備從 1.21WK40 升級到 1.30 後,應用程式設定檔失敗。它將回滾到原始韌體分割區 1.21WK40。
22. [eITS#241001300] DHCP 服務無故停止,LAN 主機無法從防火牆取得 IP 位址。
23. [eITS#241001397] 無法一次刪除多個「*.log」檔案。
24. [eITS#241001550] 安全策略顯示隨機跳躍。
25. [eITS#241001778] GUI 應該停止保留 DHCP 用戶端的重複 MAC。
26. [eITS#241100097] 韌體升級後,DHCP 表變空。
27. [eITS#241100219, 241100331] LAN 和 VLAN 用戶端在 8.8.8.8 上 ping 超時,且網路存取/下載速度變慢。
28. [eITS#241100235, 241200863] WAN 中繼 WRR 演算法未如預期運作;所有流量都透過特定的 WAN 介面路由。
29. [eITS#241100473] VPN PSK 設定中的「"」字元導致 VPN 隧道無法運作,系統無法從系統中徹底刪除。
30. [eITS#241100480] VPN 服務受到 NAT 服務影響,導致資料流量無法通過。
31. [eITS#241100518] 改善 USG FLEX 700 風扇噪音。
32. [eITS#241100535] 由於 VPN 重新對應密鑰失敗導致記憶體洩漏,防火牆意外重新啟動。
33. [eITS#241100601] 韌體更新至 1.30 後,PoE 連接埠停止運作,兩個連接埠無法同時運作。
34. [eITS#241101398] (1)防火牆停止向系統日誌伺服器傳送系統日誌。 (2) 系統日誌顯示 UTC+0 時間戳,而不是配置時區的對應時間戳記。
35. [eITS#241101415] Google MFA 綁定失敗,且 Web GUI 中未顯示任何備份代碼。
36. [eITS#241101660] 如果使用者在 NAT 規則中將「任何」定義為外部 IP,則即使傳入接口配置為「WAN」接口而不是 VTI 接口,它也會影響與規則匹配的 VPN 流量。
37. [eITS#241200162] 無法在 User Authentication > User/Group > User 中刪除使用者。 “Remove”按鈕呈灰色。
38. [eITS#241200665] SSLVPN 規則不起作用。
V1.31 (Axxx.0) 版韌體中的已知問題:
Nebula
1. [ZNGA-5846][Reverse Tunnel] 使用者透過 Nebula Remote Configurator 登入時無法存取 Web 控制台頁面。
System
1. [ZNGA-5762] PoE 配置與 GUI 狀態不一致。
Network
1. [eITS#240700730] 自動 MAC 位址分配功能分配了錯誤的 MAC 位址,導致網路流量傳輸出現異常行為。
[解決方法] 手動設定介面 MAC 位址以覆寫預設 MAC 位址。
2. [ZNGA-4442][eITS#240100505] 工作數小時後,NAT 仍不工作。
3. [ZNGA-4037][eITS#231000192] INTERFACE 類型應該包含實體連結(第 1 層)、第 2 層連結和連通性檢查的狀態。
4. [ZNGA-5044] DHCP Relay 的上行介面不支援 PPPoE 介面(GUI 選擇清單仍顯示 PPPoE 介面)。
5. [ZNGA-5988] [DHCP 表] 修改不支援的主機名稱資料並保留後,某些資料將會遺失。
6. [ZNGA-6109][Bridge][NAT] 如果啟用 NAT 環回,則無法存取同一橋接 LAN 上的裝置。
IPsec VPN
1. 設備需要至少有一個預設路由用於 IPsec VPN 流量轉送。
2. 遠端存取 IPsec VPN 不支援輔助認證伺服器。
3. 當VPN隧道數量超過 300 個時,設備有時可能會無回應,不顯示狀態。
4. [ZNGA-4393][IPsec VPN] 部分演算法組合導致 PC 間無法互相 ping 通。
5.[ZNGA-4728][Beta#1518] IKEv2 C2S 路由問題。
6. [ZNGA-5688] 基於政策的 IPSec VPN 不會繞過到其他子網路的直接路由。
User & Authentication
1. 2FA 有效時間不支援字元“+”。
2. 以管理員角色登入的 RADIUS 使用者將彈出更改密碼訊息。
3. [ZNGA-4518][AAA] 重啟後加入狀態為「尚未加入AD域」。
GUI
1. 系統儀表板小工具將載入一段時間。請等到儀表板小工具資料顯示完畢後再切換到其他 GUI 頁面。
2. [ZNGA-4999] 修改密碼頁面錯誤訊息不準確。
3. [ZNGA-6552] [設備洞察] 即使顯示授權已過期訊息,設備洞察功能仍可運作。
4. [ZNGA-6804] 完成初始化精靈中的註冊程序(步驟3)後,返回精靈的第一步。
Log
1. [ZNGA-4447][eITS#240101503] syslog 格式不符合 RFC。
Device-HA
1. 必須在兩個 Zyxel 設備上啟用系統 > SSH 下的 SSH 服務,且 SSH 連接埠必須保持設定為 22,以啟用設備 HA 同步。
2. [ZNGA-6802] 管理 IP 的子網路遮罩僅支援 255.255.255.0。
Packet Flow Explore
1. [ZNGA-6768, ZNGA-6749] 當使用者是 AD/LDAP/Radius 使用者或使用者設定為「群組」且所有成員都登入時,使用者的工具提示顯示空白。
2. [ZNGA-6767] 啟用SSL VPN功能後出現重複的「直接路由」規則。
V1.31 (Axxx.0) 版韌體中的特別備註:
1. 不要使用分配給內部服務或系統服務的連接埠。分配已被其他服務或內部服務使用的連接埠可能會導致服務無法成功啟動。
內部服務連接埠 (保留):
53/67-68/179/500/546-547/830/953/1812-1813/2601-2605/2616/3799/4500/5246-5247/5432/7681-7682
內建系統服務連接埠 (可以新增或變更預設連接埠):
HTTP-80 / HTTPS-443 / SSH-22 / SNMP-161 / FTP-21 / Remote SSL VPN-10443
2. 產生自簽名憑證或憑證要求過時的 SHA-1。
3. ZON Utility 不支援 H 系列型號。
4. 下面列出了uOS 產品"尚未"支援的功能/特性:
Wireless
• AP Controller (AP Management Secure WiFi service
• Secure Tunnel (Secure WiFi service related)
• Rogue AP
• Auto Healing
• RTLS
Network
• IGMP Proxy
• Proxy ARP
• Link Aggregation Group (LAG)
• IPv6
• IPv6 in IPv4 Tunnel
• 6to4 Tunnel
• GRE Tunnel
• Layer 2 Isolation
• DNS Load Balancing
Routing
• Policy Route Next Hop VPN Tunnel
• Dynamic Route (RIP/OSPF/BGP)
VPN
• VPN failover
Bandwidth
• Management (BWM)
• Schedule
• Per IP / per user rule
• 802.1P Marking
• BWM for Transparent Bridge interface
Authentication
• Authentication Policy
• Captive Portal
• Zyxel Single Sign On (with SSO Agent)
Security UTM
• DoH/DoT blocking
• Collaborative Detection & Response (CDR)
• ADP Protocol anomaly rules (specific scenarios use only)
Management
• Nebula Management
Hospitality
• Hotspot Management
Maintenance
• Shell script
• Firmware upgrade by USB
• Firmware upgrade by ZON utility
V1.31 (Axxx.0) 版韌體中的系統限制:
1. 不支援以下功能的名稱變更
(1) Interface name
(2) Policy Route rule name
(3) Static Route rule name
(4) Security Policy rule name
(5) NAT rule name
(6) IPsec Site-to-Site Rule name
(7) Security Services Profile name
2. [Port Group]
(1) USG FLEX 500H、USG FLEX 700H 的連接埠 1 和連接埠 2 不能與其他連接埠進行連接埠群組(Port Group)。
(2) USG FLEX 700H 的 13 號埠和 14 號埠不能和其他埠進行 Port Group。
3. [ZNGA-1649][Interface] 不支援同一網路上的多個介面連接,不同的介面不能在同一個 IP 子網路中設定 IP,ARP Flux 問題將導致意外的流量轉送行為。
例如,設定介面如下:
Ge1介面設定或取得IP:192.168.254.10/24
Ge2介面設定或取得IP:192.168.254.11/24
這表示 ge1 和 ge2 位於同一 IP 子網路 192.168.254.0/24
4. [ZNGA-3935][Remote Access VPN] 對於原生 iOS/macOS 設計,生命週期最小值為 10 分鐘。如果您設定的使用壽命少於 10 分鐘,則它無法正確連線到 iOS/macOS VPN 用戶端。查看iOS/macOS 參數參考:https://developer.apple.com/documentation/devicemanagement/vpn/ikev2/ikesecurityassociationparameters
USG FLEX 50H / USG FLEX 50HP / USG FLEX 100H / USG FLEX 100HP / USG FLEX 200H / USG FLEX 200HP / USG FLEX 500H / USG FLEX 700H
沒有留言:
張貼留言