IP封禁是對付網絡攻擊的最直接、最有效的方法。

在網絡安全防御體系中，有些系統和設備，可以通過TCP reset、返回HTTP錯誤等方式自動攔截，或是聯動防火墻進行自動封禁，但這是不夠的。在真實的防守場景下，人工封禁是必不可少的。

人工封禁主要是對監控發現和情報傳遞的惡意IP進行封禁。如何在短時間內，在多臺防火墻上（企業可能會有多個互聯網出口）迅速封禁，值得研究和優化。

本文總結了一些實用的方法，僅供參考。

1. 無縫協同

應該有一個協作平臺，至少提供在線文檔和即時通信，安全監測人員可以通過在線表格，及時上報各種攻擊行為及其IP，網絡封禁人員實時查看表格，在IP封禁系統中填入IP，然后一鍵下發到企業所有互聯網出口的防火墻上。

2. 一鍵下發

企業應建設IP封禁系統，可以在運維自動化系統中建設該模塊，也可單獨建設。

主要思路是，通過防火墻的API或者SSH方式，實施自動化的登錄和操作。

應能夠預先選擇多臺防火墻。

操作員只需要填入IP，或導入批量IP，即可生成將惡意IP加入黑名單的封禁命令，然后下發到預先選擇的多臺防火墻中。

如果在一定時間內沒有頁面操作，應強制再次認證。

相應地，應該有對應的解封操作頁面。

3. 優先黑名單

主流防火墻提供黑名單封禁和安全策略封禁兩種封禁方式。

黑名單封禁方式能立刻中斷被封禁IP的現有連接，并禁止后續連接。

安全策略封禁方式完成配置后，可禁止相應IP的后續連接，但不能斷掉現有連接。

所以，對監控發現的攻擊IP，應優先采用黑名單封禁。

對于大量的情報IP（成千上萬），可使用安全策略方式批量封禁。

4. 容量管理

主流防火墻的黑名單容量通常在2萬-10萬個IP之間，在黑名單封禁IP數量達到容量的50%時，應考慮將黑名單中的封禁IP分批遷移到安全策略中（容量通常在百萬級別或者無限制），保障黑名單始終保持充足容量以應對大量突發攻擊。

安全策略是關聯到IP地址組的，對于主流防火墻而言，每個IP地址組也有容量上限（通常在1000-3000個之間），在做黑名單IP遷移和情報批量導入時，應做好分組管理，地址組命名規則以日期組合序號為宜，如Block20220810-01、Block20220810-02等，以便于封禁IP的查詢和回溯。

5. 防誤封

為了防止誤封，IP封禁系統應實現白名單功能，將企業自有的公網出口IP、合作單位IP等加入白名單。實施封禁時，系統自動對待封禁IP進行白名單檢查，防止誤封IP導致業務故障。

將IP添加到白名單時，應詳細記錄加入的原因、關聯業務、需求人、操作人、操作時間等，便于管理和追溯。

此外，自動進行合理性檢查，尤其是檢查帶子網掩碼的IP，防范因掩碼錯誤導致大網段封禁，此類高危操作應自動強制進入短信審批流程。

    總之，盡可能自動化，盡可能防范誤操作，會讓你更輕松一點。

免責聲明：本站文章部分內容及圖片轉載自互聯網，供讀者交流和學習，如有涉及作者版權問題請及時與我們聯系，以便更正或刪除。