ZyXEL 的 USG Flex H 系列 資安防火牆是一款混合雲端與地端操作的新世代防火牆,其 V1.38 (Axxx.0) 版韌體 於 2026 年 04 月 09 日發佈,提供關於 23 項功能增強與變更、28 項錯誤修正,建議使用者盡快進行更新,詳細內容請繼續閱讀。
V1.38 (Axxx.0) 版韌體中的增強與變更的功能:
1. 協同偵測與回應 (CDR) 整合支援(僅 Nebula 配置)。
2. 支援多個 SSL VPN 設定檔。
3. SSL VPN 與 IPsec VPN 現在會記錄成功與失敗的登入事件。
4. 系統日誌增強:當 SSL 檢查阻擋流量時,日誌會包含更詳細的憑證資訊,方便排錯。
5. 安全性政策稽核:新增變更紀錄,能追蹤與審查設定修改。
6. Heartbot AnyInsight AI 驅動的 DLP (資料外洩防護) 支援。
7. 內容過濾:可針對 111+ URL 類別過濾 GenAI 應用。
8. Captive Portal 增強:
- Nebula 雲端驗證支援
- Nebula walled garden 清單支援
- 可自訂 Captive Portal 頁面並下載範本
- OIDC 提供者的 walled garden 清單支援雲端更新
9. 密碼複雜度增強:
- 密碼歷史:禁止重複使用舊密碼
- 使用者名稱限制:密碼不可與帳號名稱相同
10. 外部群組使用者支援 Captive Portal 與 OIDC 驗證伺服器整合,可強制使用者感知政策。
11. DHCP 靜態保留:改用 IP 位址作為鍵值,避免 hostname 衝突。
12. 流量統計與每日郵件報告:支援最多 8 個介面(原本僅 4 個),並反映裝置最大埠數。
13. H 系列診斷資訊下載:可透過 Nebula OPtool 取得。
14. Web GUI 增強:
- 安全最佳實務檢查
- Session 監控頁面顯示 BWM 匹配資訊
- 更新 Google 驗證撤銷、設定驗證、Device HA 切換等文字說明
- 改善暗色模式 UI
- 編輯後保留安全政策清單位置
- 防火牆 GUI 儲存效能提升(大量位址物件時縮短至約 15 秒)
- 「Beta」標籤改為「Preview」
- IPv4 介面表新增 IP/Netmask 指派資訊
- SecuManager 名稱更正為 SecuManager v3
- 更新 Remote Access VPN 頁面上的 DNS 伺服器版面配置
15. 支援 clean arp 指令。
16. UAM 可停用預設 admin 帳號。
17. SNMP 配置驗證增強:
- 移除 SNMP v1
- SNMP v2c 啟用時,SNMP Community 1 為必填
- 新增即時驗證,確保 SNMP Community 欄位正確配置
- SNMP v2c 停用時,Community 與 Trap 設定灰化不可編輯
18. Captive Portal:移除「General」介面選項。
19. NSlookup 工具:預設 DNS 查詢類型改為 Type A。
----------------------------------------------------------------------
[AP 控制器] *僅限本地
1. 支援 WiFi Aid。
2. 支援 惡意 AP 偵測 (Rogue AP Detection)。
3. 支援 Zero wait DFS。
4. 正式支援管理 WBE665S。
V1.38 (Axxx.0) 版韌體中的錯誤修復:
1. [eITS#250901513, 251002228] 改善系統穩定性,避免防火牆暫時中斷,確保持續運作。
2. [eITS#251001053] 修復網路連線偶爾無法正常工作的問題。
3. [eITS#251200198] 修正「依持續時間排序」功能無法正確運作的問題。
4. [eITS#251200731] 修復在使用 Tailscale 設定時,安全性政策未正確套用的問題。
5. [eITS#251201224] 修正政策路由封包標記錯誤,導致流量走錯介面的問題。
6. [eITS#251201436] 修復某些事件下設備可能意外重啟的問題。
7. [eITS#260100498] 修復 IPv4 快取在某些 FQDN 物件下停止更新的問題(需重開或切換物件才能暫時恢復)。
8. [eITS#260101036] 修復當 HTTP/HTTPS 埠設為 8088 時,Web GUI 無法使用的問題。
9. [eITS#260101249] 修復防火牆可能無回應,WAN/LAN 介面都無法存取的問題。
10. [eITS#260101313] 修復 SNMP 查詢導致記憶體使用量增加並造成意外重啟的問題。
11. [eITS#260101390] 修復介面連線檢查與政策路由連線檢查同時使用時無法正確運作的問題。
12. [eITS#260101826] 修復 Remote IPSec VPN Split Tunnel 腳本無法匯入 Windows 原生 VPN 客戶端的問題。
13. [eITS#260200067] 修復設備偶爾無回應,幾分鐘後才恢復的問題。
14. [eITS#260200480] 修正 SecuExtender 配置檔案名稱的拼字錯誤。
15. [eITS#260200514] 修復 DDNS 更新失敗的問題。
16. [eITS#260200945] 修復 Nebula Dashboard 上應用統計可能缺失的問題。
17. [eITS#260201047] 修復 USG FLEX H 可能出現間歇性服務中斷的問題。
18. [eITS#260201252] 修復 Tailscale VPN 在重啟後失去連線的問題。
19. [eITS#260201457] 修復 Nebula VPN 在憑證更新後可能中斷的問題。
20. [eITS#260201458, 260301049] 修復 Android 裝置在啟用 DNS SafeSearch 時可能失去網路連線的問題。
21. [eITS#260201468, 260300475, 260300880] 修復 SSL VPN 使用者驗證選擇「any」時,AD 使用者屬於 ext-group-user 無法建立 SSL VPN;以及 AD 使用者屬於多群組時防火牆無法辨識的問題。
22. [eITS#260201558] 修復間歇性連線問題與設備暫時無回應的狀況。
23. [eITS#260300082] 修復另一個間歇性連線問題與設備暫時無回應的狀況。
24. [eITS#260300819] 修復管理員 2FA 備用碼在取消變更後消失且無法重新產生的問題。
25. [eITS#260300822] 修復網際網路連線可能意外斷線的問題。
26. [eITS#260300871] 修復 AD 群組在 VPN 驗證時未正確辨識的問題。
27. [eITS#260301047] 修復系統日誌儲存到 USB 後無法下載的問題。
--------------------------------------------------------------------
[AP 控制器] Bug 修復
28. [eITS#260200398] 修復 AP 不廣播已設定 SSID 的問題。
已知問題
以下問題已在版本 1.38P0 中確認。
Nebula
1. [ZNGA-5846] Reverse Tunnel:使用 Nebula Remote Configurator 登入時,無法存取 Web Console 頁面。
System
1. [ZNGA-7192] Diagnostics Collect 收集過程耗時過長。
Network
1. [ZNGA-4442] [eITS#240100505] NAT 在運作數小時後失效。
2. [ZNGA-4037] [eITS#231000192] 介面型態未完整顯示 Layer1/Layer2 狀態與連線檢查。
3. [ZNGA-5044] DHCP Relay 上游介面不支援 PPPoE(GUI 仍顯示 PPPoE 介面)。
4. [ZNGA-5988] DHCP Table:若修改不支援的 hostname 資料並保留,可能導致資料遺失。
5. [ZNGA-6109] Bridge/NAT:若啟用 NAT loopback,同一 bridged LAN 的裝置無法互通。
IPsec VPN / SSL VPN
1. Remote access IPsec VPN 不支援兩個外部驗證伺服器。
2. 當 VPN 隧道超過 300 條時,設備可能不回應或不顯示狀態。
3. [ZNGA-9910] 切換 VPN 驗證方式(PSK → 憑證)後,Apply 按鈕可能無法使用。
4. [ZNGA-9964] 當不存在 SSL VPN client profiles 時,建立多個並調整優先順序可能導致「意外繼承的 profile」出現,阻止設定儲存。
- Workaround:先套用初始 profile,再建立並排序其他 profiles;或刪除意外繼承的 profile 後再儲存。
User & Authentication
1. 2FA 有效時間不支援「+」字元。
2. RADIUS 使用者以 Admin 身份登入時,會跳出「更改密碼」訊息。
GUI
1. 系統 Dashboard widget 載入時間長,需等待資料顯示後再切換頁面。
2. [ZNGA-4999] 更改密碼頁面的錯誤訊息不精確。
3. [ZNGA-6552] Device Insight 功能在 license 過期訊息顯示後仍可運作。
4. [ZNGA-9896] 在 NCC 設定預設主題後,Device GUI 的「Portal Type > Internal」下拉選單可能顯示為空白。
Device-HA
1. 系統 > SSH 下的 SSH 服務必須在兩台 Zyxel 設備上都啟用,才能進行 Device HA 同步。
UTM
1. [ZNGA-7240] 編輯完整分類的應用規則後,載入時間過長,且可能出現兩條規則。
AP Controller
1. [SPR: #250307114] 當管理的 AP 數量達到系統上限時,嘗試新增或管理 AP 不會顯示錯誤訊息。
2. 新建立的 SSID 不會包含相關的 MAC 過濾清單,需要重新設定 client policy。
3. [eITS#251000363] [USG FLEX 700H/WBE630S] 在 Access Points 頁面,client number 欄位的排序功能無法使用。
V1.38.0 限制 (Limitations)
General 一般限制
1. 不支援重新命名以下項目:
介面名稱
政策路由規則名稱
靜態路由規則名稱
安全性政策規則名稱
NAT 規則名稱
IPsec Site-to-Site 規則名稱
安全服務設定檔名稱
Network 網路限制
1. Port Group 限制
- USG FLEX 500H/700H 的 Port 1 與 Port 2 不能與其他埠組合成 Port Group。
- USG FLEX 700H 的 Port 13 與 Port 14 不能與其他埠組合成 Port Group。
2. [ZNGA-1649] 介面限制
不支援多個介面連接到同一網段。不同介面不能設定相同子網的 IP,否則會因 ARP Flux 導致流量轉送異常。
例:
- Ge1 設定 IP:192.168.254.10/24
- Ge2 設定 IP:192.168.254.11/24
→ 兩者同屬 192.168.254.0/24,會造成異常。
3. [ZNGA-6405] VLAN 限制
1. 若 VLAN 綁定到某個乙太網路實體埠,必須該乙太網路埠啟用後才能正常運作。
IPsec VPN 限制
1. [ZNGA-3935] Remote Access VPN
由於 iOS/macOS 原生設計,lifetime 最小值為 10 分鐘。若設定小於 10 分鐘,將無法正確連線到 iOS/macOS VPN 客戶端。
Apple 官方參考文件:https://developer.apple.com/documentation/devicemanagement/vpn/ikev2/ikesecurityassociationparameters
2. 設備必須至少有一條 預設路由,才能正確轉送 IPsec VPN 流量。
Tailscale 限制
1. [ZNGA-7437] 在 Tailscale 配置中,不支援 Dual WAN 流量。
沒有留言:
張貼留言