IP封禁是對付網絡攻擊的最直接、最有效的方法。

在網絡安全防禦體(tǐ)系中(zhōng)，有些系統和設備，可以通過TCP reset、返回HTTP錯誤等方式自動攔截，或是聯動防火(huǒ)牆進行自動封禁，但這是不夠的。在真實的防守場景下(xià)，人工(gōng)封禁是必不可少的。

人工(gōng)封禁主要是對監控發現和情報傳遞的惡意IP進行封禁。如何在短時間内，在多台防火(huǒ)牆上（企業可能會有多個互聯網出口）迅速封禁，值得研究和優化。

本文總結了一(yī)些實用的方法，僅供參考。

1. 無縫協同

應該有一(yī)個協作平台，至少提供在線文檔和即時通信，安全監測人員(yuán)可以通過在線表格，及時上報各種攻擊行爲及其IP，網絡封禁人員(yuán)實時查看表格，在IP封禁系統中(zhōng)填入IP，然後一(yī)鍵下(xià)發到企業所有互聯網出口的防火(huǒ)牆上。

2. 一(yī)鍵下(xià)發

企業應建設IP封禁系統，可以在運維自動化系統中(zhōng)建設該模塊，也可單獨建設。

主要思路是，通過防火(huǒ)牆的API或者SSH方式，實施自動化的登錄和操作。

應能夠預先選擇多台防火(huǒ)牆。

操作員(yuán)隻需要填入IP，或導入批量IP，即可生(shēng)成将惡意IP加入黑名單的封禁命令，然後下(xià)發到預先選擇的多台防火(huǒ)牆中(zhōng)。

如果在一(yī)定時間内沒有頁面操作，應強制再次認證。

相應地，應該有對應的解封操作頁面。

3. 優先黑名單

主流防火(huǒ)牆提供黑名單封禁和安全策略封禁兩種封禁方式。

黑名單封禁方式能立刻中(zhōng)斷被封禁IP的現有連接，并禁止後續連接。

安全策略封禁方式完成配置後，可禁止相應IP的後續連接，但不能斷掉現有連接。

所以，對監控發現的攻擊IP，應優先采用黑名單封禁。

對于大(dà)量的情報IP（成千上萬），可使用安全策略方式批量封禁。

4. 容量管理

主流防火(huǒ)牆的黑名單容量通常在2萬-10萬個IP之間，在黑名單封禁IP數量達到容量的50%時，應考慮将黑名單中(zhōng)的封禁IP分(fēn)批遷移到安全策略中(zhōng)（容量通常在百萬級别或者無限制），保障黑名單始終保持充足容量以應對大(dà)量突發攻擊。

安全策略是關聯到IP地址組的，對于主流防火(huǒ)牆而言，每個IP地址組也有容量上限（通常在1000-3000個之間），在做黑名單IP遷移和情報批量導入時，應做好分(fēn)組管理，地址組命名規則以日期組合序号爲宜，如Block20220810-01、Block20220810-02等，以便于封禁IP的查詢和回溯。

5. 防誤封

爲了防止誤封，IP封禁系統應實現白(bái)名單功能，将企業自有的公網出口IP、合作單位IP等加入白(bái)名單。實施封禁時，系統自動對待封禁IP進行白(bái)名單檢查，防止誤封IP導緻業務故障。

将IP添加到白(bái)名單時，應詳細記錄加入的原因、關聯業務、需求人、操作人、操作時間等，便于管理和追溯。

此外(wài)，自動進行合理性檢查，尤其是檢查帶子網掩碼的IP，防範因掩碼錯誤導緻大(dà)網段封禁，此類高危操作應自動強制進入短信審批流程。

    總之，盡可能自動化，盡可能防範誤操作，會讓你更輕松一(yī)點。

免責聲明：本站文章部分(fēn)内容及圖片轉載自互聯網，供讀者交流和學習，如有涉及作者版權問題請及時與我(wǒ)(wǒ)們聯系，以便更正或删除。