ZyXEL 的 USG Flex H 系列 資安防火牆是一款混合雲端與地端操作的新世代防火牆,其 V1.36 (Axxx.0) 版韌體 於 2025 年 10 月 15 日發佈,提供關於 31 項功能增強與變更、40 項錯誤修正,建議使用者盡快進行更新,詳細內容請繼續閱讀。
V1.36 (Axxx.0) 版韌體中的增強與變更的功能:
1. Nebula 現在支援 遠端存取 VPN(IPsec 與 SSL)。
2. 遠端存取 VPN(IPsec 與 SSL) 現在支援 Nebula 雲端驗證。
3. 新增預設的 拒絕防火牆規則 “WAN_to_Device”,且預設停用日誌紀錄。
4. 支援 VPN 備援與回復的次要對等閘道。
5. IPsec VPN Phase 2 策略 現在支援 使用者自訂名稱,允許在建立策略時命名,但建立後不可再編輯。
6. SSL VPN 現在支援設定 最低 TLS 版本為 TLS 1.3。
7. 支援在 策略路由 (Policy Routes) 中使用 基於策略的 VPN 通道 作為下一跳。
>> 特別注意:動態對等端的 VPN 通道 尚不支援作為下一跳,預計於未來版本支援。
8. 支援 Captive Portal(僅限本地) 的 「點擊繼續 (Click-to-Continue)」登入方式。
9. Captive Portal(僅限本地)增強:
9.1 驗證策略條件新增 來源 IP 與目的 IP 欄位。
9.2 使用者可設定 外部入口網站 (External Portal)。
9.3 閒置逾時 (Idle Timeout) 可於進階設定中自訂。
9.4 登入後支援 重新導向 (Redirect)。
10. 支援 IGMP Proxy(僅限本地)。[eITS#240301648]
11. 頻寬管理 (BWM) 類別新增支援 TikTok 應用服務物件。[eITS#230200174]
12. GUI 增強:
12.1 新增驗證,確保 使用者自訂 Trunks 不為空。
12.2 Geo IP 位址物件 現在支援 關鍵字搜尋。[eITS#250401186]
12.3 日誌條目中,滑鼠懸停於國旗圖示時,新增 顯示國家名稱的提示。[eITS#250200264]
12.4 新增 i-note,說明 SecuExtender 的「Get from Server」功能僅支援使用者帳號。[eITS#250601486]
12.5 群組物件 若成員超過上限,將顯示警告。[eITS#250700111]
13. 系統儀表板 (System Dashboard) 新增 系統儲存用量資訊。[eITS#250701992]
14. 診斷功能增強:
14.1 新增 CLI 選項,可輸出 SIP Pinhole 日誌 並下載診斷檔案。
14.2 新增 CLI 選項,可將 Device HA 診斷日誌 儲存至本地並下載。
15. DoS 防護:洪水攻擊的封鎖對象由 目的端 改為 來源端。
16. 遠端存取 VPN:支援 一次下載多個作業系統的設定檔。
17. WAN Trunk 預設演算法改為 LLF,且預設演算法現在可設定。
18. NAT 規則預設值:
18.1 對應類型 (Mapping Type) = Virtual Server
18.2 外部 IP = Any
18.3 NAT loopback 預設停用
19. 移除 Route-based VPN Phase 2 策略表中的 「Active Protocol」與「Encapsulation」欄位。
20. 將 「SIP ALG」 更名為 「SIP Pinhole」,因為不支援 SIP Transformation。[eITS#250800156]
21. USG FLEX 700H 的 位址物件上限 從 1000 提升至 1500。
22. USG FLEX 700H 的 靜態路由規則上限 從 512 提升至 1000。
--------------------------------------------------------
1. [eITS#250400353] 修正 SNMP 記憶體洩漏 導致防火牆當機的問題。
2. [eITS#250500843] 修正 站對站 VPN 流量 被導向錯誤的 WAN → ZyWALL 安全性策略 的問題。
3. [eITS#250501078] 修正 IKEv2 VPN 無法建立連線的問題。錯誤日誌顯示:「Generating IKE_AUTH response 2 [EAP/FAIL]」,原因是加入網域的密碼包含 " 字元,導致 radius daemon 無法載入。
4. [eITS#250501450] 修正 無法在 DHCP 清單中搜尋 IP 位址 的問題。
5. [eITS#250600093] 修正 設定 ipv64 為自訂 DDNS 時,DDNS 更新總是失敗的問題。
6. [eITS#250600635] 修正 啟用 DNS 過濾器會導致裝置當機的問題。
7. [eITS#250600733] 修正 用戶端未如預期出現在 NCC 用戶端清單中的問題。
8. [eITS#250601306] 修正 套用搜尋篩選後,無法將安全性策略複製到大於指定編號的規則的問題。
9. [eITS#250700999] 修正 IPSec 流量被導向錯誤區域的問題。
10. [eITS#250701097] 修正 1:1 NAT 出站路由規則僅在最高優先順序時才生效的問題,原因是防火牆比對了錯誤的 NAT 規則索引。
11. [eITS#250701233] 修正 網際網路連線意外中斷的問題。
12. [eITS#250701335] 修正 當介面名稱包含特定字元時,用戶端使用量未被回報的問題。
13. [eITS#250701580] 修正 站對站 VPN 流量被導向錯誤的 WAN → ZyWALL 安全性策略的問題。
14. [eITS#250701830] 修正 裝置啟動後,埠處於關閉狀態,需重新插拔網路線才能恢復的問題。原因是組態檔中的介面埠速率缺少「auto」設定。
15. [eITS#250701902] 修正 PPPoE 介面連線中斷時,預設路由 Trunk 未更新的問題。
16. [eITS#250701904] 修正 在 DHCP 保留中,相同 MAC 位址可同時以大小寫不同的形式配置給兩個 IP 位址的問題。
17. [eITS#250701969] 修正 外部群組使用者無法取得對應的群組識別參數的問題。
18. [eITS#250701992] 修正 當介面名稱包含特定字元時,用戶端使用量未被回報的問題。
19. [eITS#250800164] 修正 建立 VPN 通道時,外部群組 AD 使用者驗證失敗的問題。
20. [eITS#250800924] 修正 策略路由規則影響站對站 VPN 通道流量的問題。
21. [eITS#250801108] 修正 重新啟動後,路由規則變為非啟用狀態的問題。
22. [eITS#250801114] 修正 目的區域為 WAN 的安全性策略規則會影響屬於 VPN 區域的流量的問題。
23. [eITS#250900241] 修正 沙箱 (Sandboxing) 掃描檔案數量在數小時後仍未變化的問題。
24. [eITS#250900322] 新增 show state 指令,可檢視目前 Trunk 狀態。
25. [ZNGA-4518][AAA] 修正 重新啟動後,加入狀態顯示為 “Not join AD Domain yet.” 的問題。
26. [ZNGA-8190] 修正 使用 AD 伺服器作為次要驗證伺服器並允許外部群組使用者時,SSL VPN 可正常運作,但 ext-group-users 未顯示於登入使用者頁面的問題。
[Nebula] 錯誤修正 (Bug Fixes)
1.[eITS#250701597] 修正透過 NCC 將公有 IP 儲存為 CAPWAP 伺服器時,Nebula 回報錯誤的問題。
2. [eITS#250701910] 修正 行動應用程式中介面顯示錯誤資訊的問題。
3. [eITS#250800121] 修正 H Firewall 組態因經過轉換器轉換,導致無法與 Nebula 同步的問題。
4. [eITS#250800229, 250800838, 250801367, 250801574] 修正因 Nebula 提供不一致的資料,導致組態狀態顯示為 「Not up to date」 的問題。
5. [eITS#250800653] 修正因描述欄位包含無效字元,導致 Nebula 組態覆寫失敗的問題。
6. [eITS#250800836, 250800837] 修正 裝置離線時,Nebula 電子郵件警示延遲接收的問題。
7. [eITS#250800843] 修正 防火牆 LAG 介面區域會無故從 LAN 區域變更為「none」 的問題。
8. [eITS#250801187] 修正將 USG FLEX 500H 指派至 Nebula 網站後,Nebula 上的組態會被重設為預設值的問題。
9. [eITS#250801226] 修正 無法刪除 VPN 連線設定的問題。
10. [eITS#250801372] 修正透過 NCC 註冊新裝置時,在「新增裝置」頁面無法點擊「Next」 的問題。
11. [eITS#250900076] 修正 Nebula 與防火牆之間 PPPoE 介面同步異常的問題。
1. [RM:63836] 修正 修改 AP 群組名稱有時會失敗 的問題。
2. [RM:63867] 修正 停用 Smart Mesh 功能時,無法自動停用無線橋接 的問題。
3. [RM:63873] 修正 啟用 UTF-8 SSID 名稱時,設定包含特殊字元會發生錯誤 的問題。
Nebula
1. [ZNGA-5846][Reverse Tunnel] 使用者透過 Nebula Remote Configurator 登入時,無法存取 Web 控制台頁面。
2. [ZNGA-9744][Monitor][VPN Connection] Android Strongswan 用戶端連線無法顯示於「Client-to-Site 登入帳號表」中。
System
1. [ZNGA-7192] 診斷收集 (Diagnostics Collect) 完成時間過長。
2. [ZNGA-8815]本地使用者物件無法刪除,因為仍存在多個「provision」參照。
- 因應方式:重新啟動裝置以清除洩漏的參照,之後即可刪除該使用者物件。
Network
1. [ZNGA-4442][eITS#240100505] NAT 運作數小時後會停止工作。
2. [ZNGA-4037][eITS#231000192] INTERFACE 類型應包含實體連線狀態 (Layer 1)、第二層連線狀態 (Layer 2) 與連線檢查資訊。
3. [ZNGA-5044] DHCP Relay 上游介面不支援 PPPoE 介面(GUI 選單仍顯示 PPPoE 介面)。
4. [ZNGA-5988][DHCP Table] 若修改並保留不支援的主機名稱資料,可能導致部分資料遺失。建議使用者在修改前確保主機名稱符合支援格式。
5. [ZNGA-6109] [Bridge][NAT] 啟用 NAT loopback 時,無法存取同一橋接 LAN 上的裝置。
6. [eITS#250701327] DHCP 保留表可能顯示不正確。
- 解決方式:切換至其他分頁再返回 DHCP 表分頁以刷新狀態。
IPsec VPN
1. 遠端存取 IPsec VPN 不支援兩個外部驗證伺服器。
2. 當 VPN 通道超過 300 條時,裝置可能無回應且無法顯示狀態。
3. [ZNGA-5688] 基於策略的 IPsec VPN 無法繞過至其他子網的直接路由。
User & Authentication
1. 2FA 有效時間不支援字元「+」。
2. RADIUS 使用者以 Admin 角色登入時,會跳出「變更密碼」訊息。
GUI
1. 系統儀表板 (Dashboard) 小工具載入需等待一段時間,請等待資料顯示後再切換頁面。
2. [ZNGA-4999] 變更密碼頁面的錯誤訊息不夠精確。
3. [ZNGA-6552][Device Insight] 即使顯示授權過期訊息,Device Insight 功能仍持續運作。
Log
1. [ZNGA-4447][eITS#240101503] Syslog 格式不符合 RFC 標準。
Device-HA
1. 在 System > SSH 中,必須於兩台 Zyxel 裝置上同時啟用 SSH 服務,才能啟用 Device HA 同步。
Packet Flow Explorer
1. [ZNGA-6768, ZNGA-6749] 當使用者為 AD/LDAP/Radius 使用者,或設定為「群組」且所有成員均已登入時,使用者提示 (tooltip) 顯示為空白。
UTM
1. [ZNGA-7240] 編輯完整分類應用規則後,載入時間過長,且會出現兩條規則。
AP Controller
1. 首次啟用 Smart Mesh 功能時,需要重新啟動 AP 才能正確啟用。
2. WPA2-Enterprise 驗證在使用 EAP-TLS 或 EAP-TTLS (MSCHAPv2) 時發生異常。
3. [SPR: #250307114] 當 受管 AP 數量達到系統上限時,嘗試新增或管理新 AP 不會顯示錯誤訊息。
4. 新建立的 SSID 不會包含相關的 MAC 過濾清單,需重新設定用戶端策略以解決。
5. BandFlex AP 在預設群組下無法成功將第二無線電切換至 6 GHz。同時重新啟動閘道與 AP 可解決此問題。
6. 無線橋接 VLAN 在單埠機型上無法成功套用。套用設定後重新啟動 AP 可解決此問題。
V1.36 (Axxx.0) 版韌體中的系統限制:
1. 不支援以下功能的名稱變更
(1) Interface name
(2) Policy Route rule name
(3) Static Route rule name
(4) Security Policy rule name
(5) NAT rule name
(6) IPsec Site-to-Site Rule name
(7) Security Services Profile name
2. [Port Group]
(1) USG FLEX 500H、USG FLEX 700H 的連接埠 1 和連接埠 2 不能與其他連接埠進行連接埠群組(Port Group)。
(2) USG FLEX 700H 的 13 號埠和 14 號埠不能和其他埠進行 Port Group。
3. [ZNGA-1649][Interface] 不支援同一網路上的多個介面連接,不同的介面不能在同一個 IP 子網路中設定 IP,ARP Flux 問題將導致意外的流量轉送行為。
例如,設定介面如下:
Ge1介面設定或取得IP:192.168.254.10/24
Ge2介面設定或取得IP:192.168.254.11/24
這表示 ge1 和 ge2 位於同一 IP 子網路 192.168.254.0/24
4. [ZNGA-6405][Interface] 若 VLAN 綁定至乙太網路實體埠,僅在該乙太網路埠啟用時才會正常運作。
5. [ZNGA-3935][Remote Access VPN] 對於原生 iOS/macOS 設計,生命週期最小值為 10 分鐘。如果您設定的使用壽命少於 10 分鐘,則它無法正確連線到 iOS/macOS VPN 用戶端。查看iOS/macOS 參數參考:https://developer.apple.com/documentation/devicemanagement/vpn/ikev2/ikesecurityassociationparameters
6. 設備需要至少有一個預設路由用於 IPsec VPN 流量轉送。
7. [ZNGA-7437] Tailscale 配置不支援來自設備的雙 WAN 流量。
適用型號:
USG FLEX 50H / USG FLEX 50HP / USG FLEX 100H / USG FLEX 100HP / USG FLEX 200H / USG FLEX 200HP / USG FLEX 500H / USG FLEX 700H
沒有留言:
張貼留言