誠信經營,創新無限!
 19559789368  English
行業新聞

行業新聞 公司新聞

如何封禁大(dà)量惡意IP?

發布日期:2023-04-10 14:43:58      浏覽量:549人(rén)

1712632433084.jpg

IP封禁是對(duì)付網絡攻擊的(de)最直接、最有效的(de)方法。

在網絡安全防禦體系中,有些系統和(hé)設備,可(kě)以通(tōng)過TCP reset、返回HTTP錯誤等方式自動攔截,或是聯動防火牆進行自動封禁,但這(zhè)是不夠的(de)。在真實的(de)防守場(chǎng)景下(xià),人(rén)工封禁是必不可(kě)少的(de)。

人(rén)工封禁主要是對(duì)監控發現和(hé)情報傳遞的(de)惡意IP進行封禁。如何在短時(shí)間内,在多(duō)台防火牆上(企業可(kě)能會有多(duō)個(gè)互聯網出口)迅速封禁,值得(de)研究和(hé)優化(huà)。

本文總結了(le)一些實用(yòng)的(de)方法,僅供參考。


1. 無縫協同

應該有一個(gè)協作平台,至少提供在線文檔和(hé)即時(shí)通(tōng)信,安全監測人(rén)員(yuán)可(kě)以通(tōng)過在線表格,及時(shí)上報各種攻擊行爲及其IP,網絡封禁人(rén)員(yuán)實時(shí)查看表格,在IP封禁系統中填入IP,然後一鍵下(xià)發到企業所有互聯網出口的(de)防火牆上。

2. 一鍵下(xià)發

企業應建設IP封禁系統,可(kě)以在運維自動化(huà)系統中建設該模塊,也(yě)可(kě)單獨建設。

主要思路是,通(tōng)過防火牆的(de)API或者SSH方式,實施自動化(huà)的(de)登錄和(hé)操作。

應能夠預先選擇多(duō)台防火牆。

操作員(yuán)隻需要填入IP,或導入批量IP,即可(kě)生成将惡意IP加入黑(hēi)名單的(de)封禁命令,然後下(xià)發到預先選擇的(de)多(duō)台防火牆中。

如果在一定時(shí)間内沒有頁面操作,應強制再次認證。

相應地,應該有對(duì)應的(de)解封操作頁面。

3. 優先黑(hēi)名單

主流防火牆提供黑(hēi)名單封禁和(hé)安全策略封禁兩種封禁方式。

黑(hēi)名單封禁方式能立刻中斷被封禁IP的(de)現有連接,并禁止後續連接。

安全策略封禁方式完成配置後,可(kě)禁止相應IP的(de)後續連接,但不能斷掉現有連接。

所以,對(duì)監控發現的(de)攻擊IP,應優先采用(yòng)黑(hēi)名單封禁。

對(duì)于大(dà)量的(de)情報IP(成千上萬),可(kě)使用(yòng)安全策略方式批量封禁。

4. 容量管理(lǐ)

主流防火牆的(de)黑(hēi)名單容量通(tōng)常在2萬-10萬個(gè)IP之間,在黑(hēi)名單封禁IP數量達到容量的(de)50%時(shí),應考慮将黑(hēi)名單中的(de)封禁IP分(fēn)批遷移到安全策略中(容量通(tōng)常在百萬級别或者無限制),保障黑(hēi)名單始終保持充足容量以應對(duì)大(dà)量突發攻擊。

安全策略是關聯到IP地址組的(de),對(duì)于主流防火牆而言,每個(gè)IP地址組也(yě)有容量上限(通(tōng)常在1000-3000個(gè)之間),在做(zuò)黑(hēi)名單IP遷移和(hé)情報批量導入時(shí),應做(zuò)好分(fēn)組管理(lǐ),地址組命名規則以日期組合序号爲宜,如Block20220810-01、Block20220810-02等,以便于封禁IP的(de)查詢和(hé)回溯。

5. 防誤封

爲了(le)防止誤封,IP封禁系統應實現白名單功能,将企業自有的(de)公網出口IP、合作單位IP等加入白名單。實施封禁時(shí),系統自動對(duì)待封禁IP進行白名單檢查,防止誤封IP導緻業務故障。

将IP添加到白名單時(shí),應詳細記錄加入的(de)原因、關聯業務、需求人(rén)、操作人(rén)、操作時(shí)間等,便于管理(lǐ)和(hé)追溯。

此外,自動進行合理(lǐ)性檢查,尤其是檢查帶子網掩碼的(de)IP,防範因掩碼錯誤導緻大(dà)網段封禁,此類高(gāo)危操作應自動強制進入短信審批流程。

    總之,盡可(kě)能自動化(huà),盡可(kě)能防範誤操作,會讓你更輕松一點。



免責聲明(míng):本站文章(zhāng)部分(fēn)内容及圖片轉載自互聯網,供讀者交流和(hé)學習(xí),如有涉及作者版權問題請及時(shí)與我們聯系,以便更正或删除。

上一篇:淺談NFC與二維碼 下(xià)一篇:超高(gāo)頻(pín)RFID标簽在項目中怎樣選擇?

友情鏈接:

LaneCat網貓網管軟件

Copyright © 2019.泉州市東寶網絡科技有限公司.
0.023273s