主模块

一级子模块

二级子模块

对应操作

高危风险说明

运行状态

封锁攻击者IP

所有与封堵名单中的IP地址进行通讯的流量都将被永久拒绝

网络配置

接口/区域

物理接口

修改接口配置

导致接口关联的策略路由不生效\接口重启。存在双机时，导致双机切换；关联VPN时，vpn会断开；

网络配置

接口/区域

bypass设置

硬件/光口bypass

透明模式在双机场景下导致内网产生环路

网络配置

高级网络配置

DHCP

关闭DHCP服务

若内网是DHCP场景，会导致内网获取不到ip地址引起断网；已经获取到ip了的电脑不会马上断网，地址续租异常会断网；

网络配置

高级网络配置

ARP

启用ARP代理

启用ARP代理，NGAF会对指定地址的ARP请求使用指定接口的MAC地址进行应答；如果配置错误，会导致相应IP的ARP冲突，从而引起网络动荡。

VPN

IPSEC/SSLVPN

1.标准IPSEC会重连，修改哪个阶段就重连哪个阶段；
2.对SSLVPN部署模块进行修改，会导致vpn路由发生变化，影响原来已经接入的用户访问发布的资源；

认证系统

LDAP自动同步

如果在工作时间从AD域同步应用过来，那么新同步过来的用户，会覆盖原来存在NGAF上的用户，导致用户需要重新认证，若设置的是强制单点登录或者密码认证/单点登录，用户上网会被设备拦截进行认证。

认证系统

用户认证

认证策略

启用认证策略，并选择认证区域为内网

默认认证方式为密码认证，贸然启用且未设置账户密码或未通知用户，会让内网用户认证不通过导致断网；

防火墙

地域访问控制

若内网的地址本身就不属于任何地区，如果地域控制中限制只允许某个区域访问，就会导致内网断网；

防火墙

DOS/DDOS防护

内网ip没写（留空）会导致内网断网；若内网ip写错、未包含在已填写的地址范围的电脑也会断网；

防火墙

地址转换

目的/双向地址转换

做全端口映射

导致内网断网，设备登录不了

内容安全

应用控制策略

导致内网断网，设备登录不了

服务器保护

网页防篡改2.0

防篡改2.0的网站防护方式，一但添加防护的url之后，用户访问该url就需要进行身份验证，如果用户没有验证的权限就会导致主页面访问不了，这种情况下只允许有验证权限的人才能登陆备防护主页。建议只填写需要进行登录防护的URL，请谨慎操作；

流量管理

通道管理

流控不生效

系统

高可用性

双机热备

监控网口没有接线

导致双机状态处于故障，接口不收发数据包

系统

高可用性

基本信息

心跳口没有接线

导致双机状态处于故障，接口不收发数据包

系统

全局放行与封堵

全局放行

将业务ip加入全局放行

导致策略不生效

系统维护

数据包拦截日志与直通

策略全部失效、流控也全部失效

系统

系统配置

序列号

修改功能序列号

防篡改序列号和多功能序列号需重启设备才生效，修改sslvpn不需要重启设备；功能序列号填写之后，需要重启设备对应的功能才会生效。会弹出重启设备提示框，请谨慎操作，选择合适的时间重启；

服务器保护

web应用防护

内网有加密网站而又没有开启解密功能，会导致网站访问不了；对于是加密的内网网站，而且NGAF没有配置对该网站解密功能，就不能开HTTP端口自动识别。如果在没有开解密的情况下，开了HTTP自动识别，NGAF识别不了这些数据，会导致NGAF对网站的流量产生误判，从而影响网站的正常访问；

网络配置

路由

在没有备用的策略/静态路由的情况下，删除静态/策略路由导致NGAF上没有路由，导致内网不能上网；

系统配置

重启网关/服务

导致内网断网

网络

IPSECvpn

隧道间路由

写8个0的路由；
写目的网段是本端内网网段的路由；

会导致断网