如何封禁大(dà)量惡意IP?
發布日期:2023-04-10 14:43:58 浏覽量:488人
IP封禁是對付網絡攻擊的最直接、最有效的方法。
在網絡安全防禦體(tǐ)系中(zhōng),有些系統和設備,可以通過TCP reset、返回HTTP錯誤等方式自動攔截,或是聯動防火(huǒ)牆進行自動封禁,但這是不夠的。在真實的防守場景下(xià),人工(gōng)封禁是必不可少的。
人工(gōng)封禁主要是對監控發現和情報傳遞的惡意IP進行封禁。如何在短時間内,在多台防火(huǒ)牆上(企業可能會有多個互聯網出口)迅速封禁,值得研究和優化。
本文總結了一(yī)些實用的方法,僅供參考。
應該有一(yī)個協作平台,至少提供在線文檔和即時通信,安全監測人員(yuán)可以通過在線表格,及時上報各種攻擊行爲及其IP,網絡封禁人員(yuán)實時查看表格,在IP封禁系統中(zhōng)填入IP,然後一(yī)鍵下(xià)發到企業所有互聯網出口的防火(huǒ)牆上。
企業應建設IP封禁系統,可以在運維自動化系統中(zhōng)建設該模塊,也可單獨建設。
主要思路是,通過防火(huǒ)牆的API或者SSH方式,實施自動化的登錄和操作。
應能夠預先選擇多台防火(huǒ)牆。
操作員(yuán)隻需要填入IP,或導入批量IP,即可生(shēng)成将惡意IP加入黑名單的封禁命令,然後下(xià)發到預先選擇的多台防火(huǒ)牆中(zhōng)。
如果在一(yī)定時間内沒有頁面操作,應強制再次認證。
相應地,應該有對應的解封操作頁面。
主流防火(huǒ)牆提供黑名單封禁和安全策略封禁兩種封禁方式。
黑名單封禁方式能立刻中(zhōng)斷被封禁IP的現有連接,并禁止後續連接。
安全策略封禁方式完成配置後,可禁止相應IP的後續連接,但不能斷掉現有連接。
所以,對監控發現的攻擊IP,應優先采用黑名單封禁。
對于大(dà)量的情報IP(成千上萬),可使用安全策略方式批量封禁。
主流防火(huǒ)牆的黑名單容量通常在2萬-10萬個IP之間,在黑名單封禁IP數量達到容量的50%時,應考慮将黑名單中(zhōng)的封禁IP分(fēn)批遷移到安全策略中(zhōng)(容量通常在百萬級别或者無限制),保障黑名單始終保持充足容量以應對大(dà)量突發攻擊。
安全策略是關聯到IP地址組的,對于主流防火(huǒ)牆而言,每個IP地址組也有容量上限(通常在1000-3000個之間),在做黑名單IP遷移和情報批量導入時,應做好分(fēn)組管理,地址組命名規則以日期組合序号爲宜,如Block20220810-01、Block20220810-02等,以便于封禁IP的查詢和回溯。
爲了防止誤封,IP封禁系統應實現白(bái)名單功能,将企業自有的公網出口IP、合作單位IP等加入白(bái)名單。實施封禁時,系統自動對待封禁IP進行白(bái)名單檢查,防止誤封IP導緻業務故障。
将IP添加到白(bái)名單時,應詳細記錄加入的原因、關聯業務、需求人、操作人、操作時間等,便于管理和追溯。
此外(wài),自動進行合理性檢查,尤其是檢查帶子網掩碼的IP,防範因掩碼錯誤導緻大(dà)網段封禁,此類高危操作應自動強制進入短信審批流程。
總之,盡可能自動化,盡可能防範誤操作,會讓你更輕松一(yī)點。
免責聲明:本站文章部分(fēn)内容及圖片轉載自互聯網,供讀者交流和學習,如有涉及作者版權問題請及時與我(wǒ)(wǒ)們聯系,以便更正或删除。
友情鏈接: