深信服攻城狮居家必备良药 ---AF界面高危操作一览表
  

Sangfor_闪电回_朱丽 5508817人觉得有帮助

{{ttag.title}}
本帖汇总了一些会引起设备重启,服务重启,用户掉线、断网的界面操作!
请大家在调试设备时,注意规避或提前做好准备!


产品线
主模块
一级子模块
二级子模块
对应操作
高危风险说明
AF
运行状态
封锁攻击者IP
添加到永久封堵
所有与封堵名单中的IP地址进行通讯的流量都将被永久拒绝
AF
网络配置
接口/区域
物理接口
修改接口配置
导致接口关联的策略路由不生效\接口重启。存在双机时,导致双机切换;关联VPN时,vpn会断开;
AF
网络配置
接口/区域
bypass设置
硬件/光口bypass
透明模式在双机场景下导致内网产生环路
AF
网络配置
高级网络配置
DHCP
关闭DHCP服务
若内网是DHCP场景,会导致内网获取不到ip地址引起断网;已经获取到ip了的电脑不会马上断网,地址续租异常会断网;
AF
网络配置
高级网络配置
ARP
启用ARP代理
启用ARP代理,NGAF会对指定地址的ARP请求使用指定接口的MAC地址进行应答;如果配置错误,会导致相应IP的ARP冲突,从而引起网络动荡。
AF
VPN
IPSEC/SSLVPN
修改基础配置
1.标准IPSEC会重连,修改哪个阶段就重连哪个阶段;
  2.对SSLVPN部署模块进行修改,会导致vpn路由发生变化,影响原来已经接入的用户访问发布的资源;
AF
认证系统
LDAP自动同步
同步AD域用户
如果在工作时间从AD域同步应用过来,那么新同步过来的用户,会覆盖原来存在NGAF上的用户,导致用户需要重新认证,若设置的是强制单点登录或者密码认证/单点登录,用户上网会被设备拦截进行认证。
AF
认证系统
用户认证
认证策略
启用认证策略,并选择认证区域为内网
默认认证方式为密码认证,贸然启用且未设置账户密码或未通知用户,会让内网用户认证不通过导致断网;
AF
防火墙
地域访问控制
所有区域只允许中国大陆访问
若内网的地址本身就不属于任何地区,如果地域控制中限制只允许某个区域访问,就会导致内网断网;
AF
防火墙
DOS/DDOS防护
启用只允许下列ip通过
内网ip没写(留空)会导致内网断网;若内网ip写错、未包含在已填写的地址范围的电脑也会断网;
AF
防火墙
地址转换
目的/双向地址转换
做全端口映射
导致内网断网,设备登录不了
AF
内容安全
应用控制策略
创建拦截所有服务策略
导致内网断网,设备登录不了
AF
服务器保护
网页防篡改2.0
防篡改2.0-对网站主页防护
防篡改2.0的网站防护方式,一但添加防护的url之后,用户访问该url就需要进行身份验证,如果用户没有验证的权限就会导致主页面访问不了,这种情况下只允许有验证权限的人才能登陆备防护主页。建议只填写需要进行登录防护的URL,请谨慎操作;
AF
流量管理
通道管理
关闭流量管理
流控不生效
AF
系统
高可用性
双机热备
监控网口没有接线
导致双机状态处于故障,接口不收发数据包
AF
系统
高可用性
基本信息
心跳口没有接线
导致双机状态处于故障,接口不收发数据包
AF
系统
全局放行与封堵
全局放行
将业务ip加入全局放行
导致策略不生效
AF
系统维护
数据包拦截日志与直通
开启直通
策略全部失效、流控也全部失效
AF
系统
系统配置
序列号
修改功能序列号
防篡改序列号和多功能序列号需重启设备才生效,修改sslvpn不需要重启设备;功能序列号填写之后,需要重启设备对应的功能才会生效。会弹出重启设备提示框,请谨慎操作,选择合适的时间重启;
AF
服务器保护
web应用防护
自动识别其他HTTP端口
内网有加密网站而又没有开启解密功能,会导致网站访问不了;对于是加密的内网网站,而且NGAF没有配置对该网站解密功能,就不能开HTTP端口自动识别。如果在没有开解密的情况下,开了HTTP自动识别,NGAF识别不了这些数据,会导致NGAF对网站的流量产生误判,从而影响网站的正常访问;
AF
网络配置
路由
删除静态/策略路由
在没有备用的策略/静态路由的情况下,删除静态/策略路由导致NGAF上没有路由,导致内网不能上网;
AF
系统配置
重启网关/服务
重启网关/服务
导致内网断网
AF
网络
IPSECvpn
隧道间路由
写8个0的路由;
  写目的网段是本端内网网段的路由;
会导致断网

打赏鼓励作者,期待更多好文!

打赏
35人已打赏

feeling 发表于 2017-12-21 11:29
  
保存一下备用
破碎南瓜 发表于 2017-12-31 15:58
  
保存一下备用,感谢分享!
浪逐天涯 发表于 2018-1-16 10:52
  
不错,收藏了
zoou 发表于 2018-2-17 16:36
  
统计的很好,很有用,学习了。
老家伙 发表于 2018-3-7 08:24
  
保存一下备用
新手978622 发表于 2018-3-7 11:43
  
对于排除故障很有帮助。
新手045712 发表于 2018-3-13 17:05
  
新手045712 发表于 2018-3-13 17:05
  
学学学学学技术 发表于 2018-3-13 17:29
  
非常感谢
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
每周精选
干货满满
技术笔记
新版本体验
产品连连看
秒懂零信任
技术咨询
自助服务平台操作指引
技术晨报
2023技术争霸赛专题
GIF动图学习
通用技术
安装部署配置
标准化排查
社区帮助指南
功能体验
齐鲁TV
畅聊IT
安全攻防
问题分析处理
排障笔记本
深信服技术支持平台
天逸直播
答题自测
流量管理
功能咨询
卧龙计划
信服课堂视频
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
每日一记
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
华北区交付直播

本版版主

396
134
63

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人