ZyXEL 的 USG Flex H 系列 資安防火牆是一款混合雲端與地端操作的新世代防火牆,其 V1.35 (Axxx.1) 版韌體 於 2025 年 08 月 12 日發佈,前一版本 V1.35 (Axxx.0) 版韌體 於 2025 年 07 月 22 日發佈,提供關於 25 項功能增強與變更、36 項錯誤修正、1 項高度風險漏洞修補,建議使用者盡快進行更新,詳細內容請繼續閱讀。
V1.35 (Axxx.1) 版韌體中的錯誤修復:
1. [eITS#250501586] RADIUS 日誌導致記憶體問題,進而引發意外重啟。
2. [eITS#250701932] 安全性原則無法偵測到使用者或使用者群組。
3. [eITS#250701854] 在「遠端存取 VPN」>「驗證」>「使用者」中選擇「ext-group-user」後,使用 AD 使用者進行 IKEv2 登入無法正常運作。
V1.35 (Axxx.0) 版韌體中的增強與修正的功能:
1. [增強] 支援 Nebula 中的預配置設定 - 在防火牆上線之前即可設置。
2. [增強] 支援 DNS 內容過濾器安全搜尋。 [eITS#240501656,241000432]
3. [增強] 本地傳入流量支援 IP 信譽允許/阻止清單。[eITS#240900032]
4. [增強] 與 Avast SMB 整合 - Avast Business Hub 的終端機管理。
5. [增強] 支援 Microsoft Exchange SMTP OAuth 2.0 。[eITS#241100638]
6. [增強] 支援 IPsec VPN 連線檢查。
7. [增強] 遠端存取 VPN 驗證權限中新增對外部使用者群組的支援。 [eITS#241000271]
8. [增強] 支援設定檔的計畫備份輪替。[eITS#240901439]
9. [增強] 將最大設定檔上傳限制增加到 65 個(包括預設的 3 個)。
10.[增強] 增加了在 CEF 流量日誌中記錄 SNAT/DNAT 詳細資訊的支援。
11.[增強] 增強了 WAN 中繼回退功能,可在故障轉移期間自動終止被動介面上的連接,從而實現無縫過渡。[eITS#250302339]
12.[增強] 支援 AD 驗證的「BaseDN」和「BindDN」設定。 [eITS#250200416, 250300826]
13.[增強] 封包流資源管理器 > 路由狀態:新增 Tailscale 封包流靜態路由資訊。
14.[功能變更] 管理 GUI 和強制門戶的認證 IP 集現已分開。
15.[增強] 將 SSH 連接埠與設備高可用性 (HA) 及其他用途分開。
16.[增強] 設備高可用性 (HA) 增強功能:
a. 將 UAM 事件同步到被動設備。
b. 被動設備將始終升級備用分割區上的韌體。
c. 支援自動完全同步操作,以確保在以下情況下無縫更新:
c-1. 設備重啟
c-2. 韌體升級
c-3. 停用或暫停高可用性
c-4. 心跳介面重新連線或心跳衝突
d. 增強「顯示狀態」功能,包含故障轉移計數資訊。
17.[增強] 圖形使用者介面 (GUI) 和使用者體驗增強
a. IPsec VPN 顯示俄羅斯國家的 DES 解密。
b. 日誌過濾器現在支援關鍵字過濾中的空格字元。
c. 增強色彩對比和粗體文本,以提高可讀性。[eITS#250301509]
d. 顯示所有介面引用 – 顯示每個介面在不同設定中的使用或引用位置。
e. DHCP 池大小設定不正確時,會跳出警告訊息。 [eITS#250401121]
f. 在 Tailscale 設定頁面上新增超鏈接,以便將使用者重新導向至 Tailscale 入口網站。
g. 將 Tailscale 設定頁面上的“登出”替換為“撤銷”,並相應更新了相關的 iNote。
h. 透過啟用裝置處理「support」帳號名稱和密碼的轉換,支援 Nebula 預先設定場景。
i. 在預設驗證逾時設定中新增了「外部群組使用者」選項。
j. 在編輯模式下將內嵌編輯樣式變更為預設。
k. 在「網路」>「介面」表中新增「MAC 位址」欄位/資訊。
l. 新增了 iNote,告知使用者直接從 WAN 介面存取時,不支援 VPN 存取的雙重驗證。[eITS#240901645]
18.[增強功能] 更新了 Web 幫助和使用者指南,在「介面」章節中新增了 VLAN 介面通知,以提高清晰度和指導性。 [eITS#250601363]
19.[功能變更] WAN 中繼僅支援 1 個被動介面。
[AP 控制器]
1. [增強] 支援使用本機資料庫的 MAC 位址認證
2. [增強] 支援 UTF-8 SSID
3. [增強] 支援 LED 燈抑制(覆蓋/群組設定)
4. [增強] LAN 配置(覆蓋設定)
5. [增強] 無線橋接(覆蓋設定)
V1.35 (Axxx.0) 版韌體中的錯誤修復:
1. [eITS#240501768, 240700730] 介面的自動 MAC 位址分配功能分配了錯誤的 MAC 位址,導致網路流量傳輸出現異常行為。
2. [eITS#240901725, 250401491] 解決了流量處理過程中可能導致系統在防欺騙和反惡意軟體操作期間不穩定的問題。
3. [eITS#250200887] PPPoE 重新連線後,無法自動啟用政策路由。
4. [eITS#250201234] 解決了由於轉換工具中缺少預配 CLI,導致 USG FLEX H 使用者無法設定遠端存取 VPN 的問題。
5. [eITS#250201553] 使用使用者定義的本機/遠端原則建立多個 IPSec VPN 階段原則時,會持續顯示錯誤訊息。
6. [eITS#250400138] 解決了設備高可用性 (HA) 場景中的兩個問題:
(1) Syslog 伺服器可能意外停止運作。
(2) 解決了由於應用不完整的設定檔導致 HA 被動設備遇到錯誤的問題。
7. [eITS#250400363] USG FLEX H 持續發送未由 ping 檢查觸發的 ARP 廣播。
8. [eITS#250400596] DDNS 設定檔的密碼不能設定為「_」下劃線字元。
9. [eITS#250400848] 將以下日誌調整為調試等級:
(1) 偵測到異常 TCP 流量,來源連接埠為零,丟棄。
(2) 偵測到異常 TCP 流量,目標連接埠為零,丟棄。
(3) 偵測到異常 UDP 流量,來源埠為零,丟棄。
(4) 偵測到異常 UDP 流量,目標連接埠為零,丟棄。
10.[eITS#250401058] 修改 VPN 設定導致 PPPoE 不斷重撥。
11.[eITS#250401127, 250401228] 因 PPPoE 導致防火牆離線的情況已更改。
12.[eITS#250401204] 使用者介面中的翻譯問題。改進了翻譯的準確性和清晰度,尤其是德語翻譯。
13.[eITS#250401353] 撥接連線後,PPPoE 介面未請求 DNS IP。
14.[eITS#250401416, 250600069] 圖形使用者介面 (GUI) 不允許介面 IP/網路與輔助 IP 重疊。
15.[eITS#250401513] 使用者介面中的翻譯問題。已提高翻譯的準確性和清晰度,尤其是虛擬伺服器連接埠的繁體中文翻譯。
16.[eITS#250401516] 從「手動」切換到「自動」時,如果 NAT 遍歷不為空,則未產生憑證。
17.[eITS#250401534, 250401613, 250501069] 防火牆運作一段時間後無法從 MZC 伺服器取得正確的許可證狀態,導致防火牆無法向 SecuReporter 傳送資料。
18.[eITS#250401557] 由於啟動過程中出現內部系統錯誤,設備無法啟動。
19.[eITS#250401917, 250500833] PPPoE 介面連線不穩定,導致防火牆與 NCC 連線/離線。
20.[eITS#250500077] 當證書清單為空時,手動選擇欄位將標記為紅色,表示缺少證書。
21.[eITS#250500308] 解決了與使用者帳戶查詢相關的問題,該問題導致記憶體使用效率低下。
22.[eITS#250500336] 使用者介面中的翻譯問題。提高了翻譯的準確性和清晰度。
23.[eITS#250501361] 內容過濾器重定向 URL 中無法使用“-”的問題。
24.[eITS#250501496] MacBook 無法使用 SecuExtender VPN 用戶端從伺服器取得設定。
25.[eITS#250600290] 無法在 Web GUI 上設定 DHCP 選項代碼 43。
26.[eITS#250600376] 管理員登入失敗事件不正確。
27.[eITS#250600378] 郵件提醒功能不支援多項選擇。
28.[eITS#250600733] 客戶端未如預期出現在 NCC 用戶端清單中。
29.[eITS#250601347] 電子郵件 GUI 註解:有效字元未顯示 [0-9]。
30.[eITS#250601674, 250700954] SSL VPN 無法連線。
31.[eITS#250700034] 修改 VPN 設定保存方法,以防止使用者錯誤。
[AP 控制器]
1. [eITS #250400906] SSID 設定頁面卡在持續載入循環中。
2. [eITS #250701103, eITS #250701190] WPA-Enterprise 預設驗證憑證已過期。
uOS1.35 不再容易受到以下 CVE 漏洞暴露的影響:
[7.5-高度] 漏洞編號:CVE-2024-8176
libexpat 函式庫由於其處理 XML 文件中遞歸實體擴充的方式而存在堆疊溢位漏洞。當解析包含深度巢狀實體參考的 XML 文件時,libexpat 可能會被迫無限遞歸,從而耗盡堆疊空間並導致崩潰。此問題可能導致拒絕服務 (DoS),或在某些情況下導致可利用的記憶體損壞,具體取決於環境和程式庫的使用情況
美國國家漏洞數據庫:https://nvd.nist.gov/vuln/detail/cve-2024-8176
V1.35 (Axxx.1) 版韌體中的已知問題:
Nebula
1. [ZNGA-5846][Reverse Tunnel] 使用者透過 Nebula Remote Configurator 登入時無法存取 Web 控制台頁面。
System
1. [ZNGA-7192] 診斷收集需要太長時間才能完成收集。
Network
1. [ZNGA-4442] [eITS#240100505] NAT 工作數小時後無法正常運作。
2. [ZNGA-4037] [eITS#231000192] INTERFACE 類型應包含實體連結(第 1 層)、第 2 層連結和連通性檢查的狀態。
3. [ZNGA-5044] DHCP Relay 的上游介面不支援 PPPoE 介面(GUI 選擇清單仍顯示 PPPoE 介面)。
4. [ZNGA-5988] [DHCP 表] 修改不支援的主機名稱資料並保留後,某些資料將會遺失。
5. [ZNGA-6109] [Bridge][NAT] 如果啟用 NAT 環回,則無法存取同一橋接 LAN 上的裝置。
6. [eITS#250701327] DHCP 保留表可能無法正確顯示。若要解決此問題,請切換到其他選項卡,然後返回 DHCP 表格選項卡以刷新狀態
IPsec VPN
1. 遠端存取 IPsec VPN 不支援兩台外部驗證伺服器。
2. 當 VPN 隧道數量超過 300 條時,裝置有時可能無法回應且無法顯示狀態。
3. [ZNGA-5688] 基於政策的 IPSec VPN 無法繞過到其他子網路的直接路由。
4. [ZNGA-7997] uOS 1.32 上 IPsec Site-to-Site VPN 的預共享密鑰不支援特殊字符,例如 '(單引號)、"(雙引號)或 \(反斜杠)。然而,uOS 1.35 支援這些字符。連接,請避免在預共用金鑰中使用這些特殊字元。
User & Authentication
1. 2FA 有效時間不支援字元“+”。
2. 以管理員角色登入的 RADIUS 使用者將彈出更改密碼訊息。
3. [ZNGA-4518][AAA] 重啟後加入狀態為「尚未加入AD域」。
GUI
1. 系統儀表板小工具將需要一段時間才能載入。請等待儀表板小工具資料顯示完畢後再切換到其他 GUI 頁面。
2. [ZNGA-4999] 修改密碼頁面錯誤訊息不準確。
3. [ZNGA-6552] [設備洞察] 即使顯示授權已過期訊息,設備洞察功能仍可正常運作。
Log
1. [ZNGA-4447] [eITS#240101503] syslog 格式不符合 RFC。
Device-HA
1. 必須在兩個 Zyxel 設備上啟用系統 > SSH 下的 SSH 服務,且 SSH 連接埠必須保持設定為 22,以啟用設備 HA 同步。
Packet Flow Explore
1. [ZNGA-6768, ZNGA-6749] 當使用者是 AD/LDAP/Radius 使用者或使用者設定為「群組」且所有成員都登入時,使用者的工具提示顯示空白。
UTM
1. [ZNGA-7240] 編輯全類別應用規則後,載入時間較長,且規則有兩條。
APC
1. 首次啟用智慧網格功能時,需要重新啟動接入點以確保功能正確啟動。
2. 使用 EAP-TLS 或 EAP-TTLS (MSCHAPv2) 的 WPA2-Enterprise 驗證有故障。
3. [SPR:#250307114] 當管理的 AP 數量達到系統限制時,嘗試新增或管理新 AP 時不會顯示任何錯誤訊息。
SSL VPN
1. [ZNGA-8190] 使用 AD 伺服器作為輔助驗證伺服器並允許外部群組使用者時,SSL VPN 運作正常,但外部群組使用者不會顯示在「登入使用者」頁面上。
V1.35 (Axxx.1) 版韌體中的特別備註:(紅色為此版本新增)
1. 請勿使用已指派給內部服務或系統服務的連接埠。分配已被其他服務或內部服務使用的連接埠可能會導致服務無法成功啟動。
內部服務連接埠(保留):
53/67-68/179/500/546-547/694/830/953/1812-1813/2601-2605/2616/3799/4500/5246-5247/5432/7681-7682/18121/49058
內建系統服務連接埠:(可以新增或變更預設連接埠)
HTTP-80 / HTTPS-443 / Captive Portal HTTP-1080 / Captive Portal HTTPS-1443 / SSH-22 / SNMP-161 / FTP-21 / Remote SSL VPN-10443 / Tailscale VPN 41641
Wireless
• Data tunneling
• Remote AP
• WiFi 7 MLO (Default supported but not configurable)• Smart Mesh MLO (已支援)
• SSID scheduling
• Airtime fairness
• WMM
• Rogue AP detection
• Load balance• Wireless bridge (已支援)
• AP frame capture
• Collect AP diagnostic info
• WiFi Aid
• Top N report
Routing
• Policy Route Next Hop VPN Tunnel
• Dynamic Route (RIP/OSPF/BGP)
VPN
• Secondary peer gateway for VPN failover and fallback
• Supports LAG interface in IPsec S2S and IPsec Remote Access VPN
Bandwidth Management (BWM)
• BWM for Transparent Bridge interface
Authentication
• Cloud Authentication
• Customize and Click-to-continue Captive Portal
• Zyxel Single Sign-On (with SSO Agent)
Security UTM
• Collaborative Detection & Response (CDR)
• ADP–Protocol anomaly rules (specific scenarios use only)
Management
• Nebula Summary Report
• Nebula Remote Access VPN
Hospitality
• Hotspot Management
Maintenance
• Shell script
• Firmware upgrade by USB
V1.35 (Axxx.1) 版韌體中的系統限制:
1. 不支援以下功能的名稱變更
(1) Interface name
(2) Policy Route rule name
(3) Static Route rule name
(4) Security Policy rule name
(5) NAT rule name
(6) IPsec Site-to-Site Rule name
(7) Security Services Profile name
2. [Port Group]
(1) USG FLEX 500H、USG FLEX 700H 的連接埠 1 和連接埠 2 不能與其他連接埠進行連接埠群組(Port Group)。
(2) USG FLEX 700H 的 13 號埠和 14 號埠不能和其他埠進行 Port Group。
3. [ZNGA-1649][Interface] 不支援同一網路上的多個介面連接,不同的介面不能在同一個 IP 子網路中設定 IP,ARP Flux 問題將導致意外的流量轉送行為。
例如,設定介面如下:
Ge1介面設定或取得IP:192.168.254.10/24
Ge2介面設定或取得IP:192.168.254.11/24
這表示 ge1 和 ge2 位於同一 IP 子網路 192.168.254.0/24
4. [ZNGA-3935][Remote Access VPN] 對於原生 iOS/macOS 設計,生命週期最小值為 10 分鐘。如果您設定的使用壽命少於 10 分鐘,則它無法正確連線到 iOS/macOS VPN 用戶端。查看iOS/macOS 參數參考:https://developer.apple.com/documentation/devicemanagement/vpn/ikev2/ikesecurityassociationparameters
5. 設備需要至少有一個預設路由用於 IPsec VPN 流量轉送。
6. [ZNGA-7437] Tailscale 配置不支援來自設備的雙 WAN 流量。
適用型號:
USG FLEX 50H / USG FLEX 50HP / USG FLEX 100H / USG FLEX 100HP / USG FLEX 200H / USG FLEX 200HP / USG FLEX 500H / USG FLEX 700H
沒有留言:
張貼留言