IP封禁是對(duì)付網(wǎng)絡(luò)攻擊的最直接、最有效的方法�����。
在網(wǎng)絡(luò)安全防御體系中����,有些系統(tǒng)和設(shè)備,可以通過TCP reset���、返回HTTP錯(cuò)誤等方式自動(dòng)攔截�,或是聯(lián)動(dòng)防火墻進(jìn)行自動(dòng)封禁����,但這是不夠的。在真實(shí)的防守場(chǎng)景下�,人工封禁是必不可少的����。
人工封禁主要是對(duì)監(jiān)控發(fā)現(xiàn)和情報(bào)傳遞的惡意IP進(jìn)行封禁��。如何在短時(shí)間內(nèi)�����,在多臺(tái)防火墻上(企業(yè)可能會(huì)有多個(gè)互聯(lián)網(wǎng)出口)迅速封禁�,值得研究和優(yōu)化。
本文總結(jié)了一些實(shí)用的方法�,僅供參考。
1. 無縫協(xié)同
應(yīng)該有一個(gè)協(xié)作平臺(tái)�,至少提供在線文檔和即時(shí)通信,安全監(jiān)測(cè)人員可以通過在線表格��,及時(shí)上報(bào)各種攻擊行為及其IP�����,網(wǎng)絡(luò)封禁人員實(shí)時(shí)查看表格��,在IP封禁系統(tǒng)中填入IP���,然后一鍵下發(fā)到企業(yè)所有互聯(lián)網(wǎng)出口的防火墻上�����。
2. 一鍵下發(fā)
企業(yè)應(yīng)建設(shè)IP封禁系統(tǒng)����,可以在運(yùn)維自動(dòng)化系統(tǒng)中建設(shè)該模塊���,也可單獨(dú)建設(shè)�。
主要思路是��,通過防火墻的API或者SSH方式�,實(shí)施自動(dòng)化的登錄和操作。
應(yīng)能夠預(yù)先選擇多臺(tái)防火墻����。
操作員只需要填入IP,或?qū)肱縄P�����,即可生成將惡意IP加入黑名單的封禁命令�,然后下發(fā)到預(yù)先選擇的多臺(tái)防火墻中。
如果在一定時(shí)間內(nèi)沒有頁面操作��,應(yīng)強(qiáng)制再次認(rèn)證。
相應(yīng)地����,應(yīng)該有對(duì)應(yīng)的解封操作頁面。
3. 優(yōu)先黑名單
主流防火墻提供黑名單封禁和安全策略封禁兩種封禁方式����。
黑名單封禁方式能立刻中斷被封禁IP的現(xiàn)有連接,并禁止后續(xù)連接���。
安全策略封禁方式完成配置后�����,可禁止相應(yīng)IP的后續(xù)連接��,但不能斷掉現(xiàn)有連接�。
所以����,對(duì)監(jiān)控發(fā)現(xiàn)的攻擊IP,應(yīng)優(yōu)先采用黑名單封禁�����。
對(duì)于大量的情報(bào)IP(成千上萬),可使用安全策略方式批量封禁����。
4. 容量管理
主流防火墻的黑名單容量通常在2萬-10萬個(gè)IP之間,在黑名單封禁IP數(shù)量達(dá)到容量的50%時(shí)����,應(yīng)考慮將黑名單中的封禁IP分批遷移到安全策略中(容量通常在百萬級(jí)別或者無限制)�����,保障黑名單始終保持充足容量以應(yīng)對(duì)大量突發(fā)攻擊�����。
安全策略是關(guān)聯(lián)到IP地址組的�,對(duì)于主流防火墻而言,每個(gè)IP地址組也有容量上限(通常在1000-3000個(gè)之間)����,在做黑名單IP遷移和情報(bào)批量導(dǎo)入時(shí),應(yīng)做好分組管理��,地址組命名規(guī)則以日期組合序號(hào)為宜,如Block20220810-01�����、Block20220810-02等����,以便于封禁IP的查詢和回溯。
5. 防誤封
為了防止誤封���,IP封禁系統(tǒng)應(yīng)實(shí)現(xiàn)白名單功能����,將企業(yè)自有的公網(wǎng)出口IP���、合作單位IP等加入白名單��。實(shí)施封禁時(shí)��,系統(tǒng)自動(dòng)對(duì)待封禁IP進(jìn)行白名單檢查���,防止誤封IP導(dǎo)致業(yè)務(wù)故障。
將IP添加到白名單時(shí)�����,應(yīng)詳細(xì)記錄加入的原因、關(guān)聯(lián)業(yè)務(wù)�、需求人、操作人��、操作時(shí)間等�����,便于管理和追溯���。
此外,自動(dòng)進(jìn)行合理性檢查����,尤其是檢查帶子網(wǎng)掩碼的IP,防范因掩碼錯(cuò)誤導(dǎo)致大網(wǎng)段封禁����,此類高危操作應(yīng)自動(dòng)強(qiáng)制進(jìn)入短信審批流程。
總之���,盡可能自動(dòng)化�,盡可能防范誤操作,會(huì)讓你更輕松一點(diǎn)���。
免責(zé)聲明:本站文章部分內(nèi)容及圖片轉(zhuǎn)載自互聯(lián)網(wǎng)����,供讀者交流和學(xué)習(xí)�����,如有涉及作者版權(quán)問題請(qǐng)及時(shí)與我們聯(lián)系����,以便更正或刪除。
13950193355
中文版 
閩ICP備19024294號(hào)
在線客服1:66646557