ZyXEL 的 USG Flex H 系列 資安防火牆是一款混合雲端與地端操作的新世代防火牆,其 V1.37 (Axxx.0) 版韌體 於 2026 年 01 月 15 日發佈,提供關於 43 項功能增強與變更、33 項錯誤修正,建議使用者盡快進行更新,詳細內容請繼續閱讀。
V1.37 (Axxx.0) 版韌體中的增強與變更的功能:
1. [增強] SSL VPN / Captive Portal 支援使用 Microsoft Entra ID / Google (OIDC) 進行驗證。
2. [增強] 支援「應用程式感知的策略路由」。 [eITS#250800760]
3. [增強] 策略路由的下一跳支援動態 VPN 通道。
4. [增強] 防毒允許/封鎖清單支援 SHA-256 雜湊值。
5. [增強] 外部封鎖清單 (EBL) 條目支援 # 和 ; 作為註解符號。 [eITS#250901370]
6. [增強] 支援異常偵測與防護。 [eITS#250200680]
7. [增強] IPsec VPN(站對站與遠端存取)IKEv2 支援 AES-GCM。
8. [增強] IPsec VPN(站對站與遠端存取)支援 DH31-32 群組。
9. [增強] IPsec VPN Phase2 策略物件支援「介面子網」類型。
10. [增強] IPsec VPN 通道區域可直接在安全性策略中匹配。
11. [增強] SSL VPN 頁面新增憑證到期資訊。 [eITS#250101430]
12. [增強] mDNS Proxy 支援 AirPlay、AirDrop 與 Chromecast 跨子網。 [eITS#210601927]
13. [增強] BWM:支援 IEEE 802.1p 標記。 [eITS#250601378, 250600442]
14. [增強] 介面入口與出口速率限制支援。 [eITS#250600089]
15. [增強] DHCP 表格支援匯入功能。 [eITS#240101697, 250401083, 250401189]
16. [增強] DHCP:新增驗證以防止 DHCP 位址池超出介面子網遮罩範圍。 [eITS#250501381]
17. [增強] 在 DHCP 位址池設定中新增檢查,以防止池超出介面子網遮罩範圍。 [eITS#250501381]
18. [增強] Captive Portal Active Directory 整合支援「User Principal Name」屬性。 [eITS#241101233, 241100761]
19. [增強] (僅限 CLI)NAT 虛擬伺服器規則支援 GARP 間隔。 [eITS#250800621]
30. [功能變更] [警示郵件]:更新記憶體使用量顯示,僅專注於系統記憶體使用量,不再包含 FastPath 後端使用量。
31. [功能變更] [Tailscale]:升級 Tailscale 至 v1.90.8。
32. [功能變更] [SNMP]:預設停用 SNMP。
33. [功能變更] [GUI/Captive Portal]:將「Authentication Policy > Advance」分頁重新命名為「Settings」。
34. [功能變更] [Captive Portal]:當設定 Redirect FQDN 時,必須手動新增 DNS A 記錄,將該 FQDN 對應至 Captive Portal 伺服器位址(預設:6.6.6.6)。
---------------------------------------------------------------------
[AP 控制器] *僅限本地
1. [增強] 支援管理 IAP500BE。
2. [增強] 支援獨立的 AP 無線電設定。
3. [增強] 支援使用萬用字元的用戶端策略。
4. [增強] 支援由控制器直接代理。
5. [增強] 支援無線診斷功能。
6. [增強] 支援在 SSID 檢視中顯示用戶端資訊。
7. [增強] 支援 WLAN Top-N 資訊。
8. [增強] 支援內部驗證伺服器憑證選擇。 [eITS#250701412, 251000304]
9. [增強] 每日電子郵件報告包含 WLAN 資訊。
V1.37 (Axxx.0) 版韌體中的錯誤修復:
1. [eITS#250800314] ESP 在 WAN Trunk 同時選擇 ge1 與 ge2 時,回覆到錯誤的介面。
2. [eITS#250800936] SSL VPN:修正使用者群組包含巢狀群組時,可能導致驗證失敗的問題。
3. [eITS#250900060] VLAN 介面因初始化失敗,無法分配 DHCP IP 位址。
4. [eITS#250900483] 在基於路由的 VPN 情境中,無法回退至主要 VTI 介面。
5. [eITS#250900846] SecuReporter 缺少 AD 使用者顯示。
6. [eITS#250900890] SSL 檢查工作階段無法自動釋放。
7. [eITS#250901103] 在 conntrack destroy 回呼中存取未初始化的清單,導致未定義行為並造成 fastpath 守護程序死鎖。
8. [eITS#251000114] 若 AD 使用者存在於多個群組中,可能導致 AD 驗證失敗。
9. [eITS#251000357] 電子郵件通知中有拼字錯誤。
10. [eITS#251000497] DDNS 更新狀態異常。
11. [eITS#251000842] AD 使用者具有多群組成員資格時,VPN 驗證失敗。
12. [eITS#251001202] DoS 防護規則設定為來自 WAN 介面的流量,但同時也過濾來自 IPsec 通道的流量。
13. [eITS#251001621] 新增物件時,已連線的 SSL 用戶端會被斷線。
14. [eITS#251100269] 由於 USG Flex H 防火牆位於 NAT 後方,導致 IPsec 遠端 VPN 的 Nebula Cloud 驗證失敗。
15. [eITS#251100344] 修正空主機名稱設備的保留 IP 問題。
16. [eITS#251100931] VLAN 成員為空。
17. [eITS#251100995] 高 CPU 使用率導致穩定性問題。
18. [eITS#251101213] SNMP 守護程序導致設備凍結。
19. [eITS#251101734] 從 NCC 推送設定會導致 PPPoE 重新撥號。
20. [eITS#251101885] SNMP 守護程序在某些情況下發生核心傾印。
21. [eITS#251101960] 德文翻譯問題 ——「All」與「Any」選項顯示相同。
22. [eITS#251200277] No-IP DDNS 無法成功與伺服器同步,因伺服器端支援新值而防火牆顯示未知。
23. [eITS#251200748] VPN 設定在開機時未初始化。
24. [eITS#251201002] 移除「remove startup」CLI 命令。
25. [eITS#251201016]「Ext-User」的 VPN 使用者流量無法由安全性策略規則管理。
26. [eITS#251201198] 調整內容過濾「拒絕存取訊息」欄位限制:不可儲存為空白。
27. [eITS#251201358] 新增或修改排程物件會導致設備 Web GUI 超時。
28. [eITS#251200907] 調整 BWM Source IP 位址限制,不得超過 1024。
29. [ZNGA-8744] 監控][VPN 連線] 無法在「Client-to-Site 登入帳號表」中顯示 Android Strongswan 用戶端連線。
30. [ZNGA-5688] 基於策略的 IPSec VPN 無法繞過至其他子網的直接路由。
31. [ZNGA-8815] 因使用者仍有多個「provision」參考,導致本地使用者物件無法刪除。
[AP 控制器] Bug 修復
1. [eITS#251001634] Secure WiFi —— 當 FLEX H 網路存取/同步失敗時,AP 管理數量會降回預設值 8。
2. [eITS#251101963] USG 重新啟動後,AP 清單顯示「VLAN Conflict」狀態
GUI
- 系統儀表板小工具需要一段時間載入。請等待儀表板小工具資料顯示後再切換至其他 GUI 頁面。
- [ZNGA-4999] 更改密碼頁面的錯誤訊息不夠精確。
- [ZNGA-6552] [Device Insight] 當顯示授權到期訊息時,Device Insight 功能仍可正常運作。
Device-HA
- 在 System > SSH 下,必須在兩台 Zyxel 設備上啟用 SSH 服務,才能啟用 Device HA 同步功能。
UTM
- [ZNGA-7240] 編輯完整類別的應用程式規則後,載入時間過長,且會出現兩條規則。
AP 控制器
- [SPR: #250307114] 當受管 AP 數量達到系統上限時,嘗試新增或管理新 AP 不會顯示錯誤訊息。
- 新建立的 SSID 不包含相關的 MAC 過濾清單。請重新設定用戶端策略以解決此問題。
沒有留言:
張貼留言