如何封禁大量恶意IP?

这篇具有很好参考价值的文章主要介绍了如何封禁大量恶意IP?。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

摘要:封禁IP分为自动封禁和人工封禁,本文主要介绍如何人工封禁。人工封禁的关键是:无缝协同,方便操作,批量化,一键式,防误封,高容量。

IP封禁是对付网络攻击的最直接、最有效的方法。

在网络安全防御体系中,有些系统和设备,可以通过TCP reset、返回HTTP错误等方式自动拦截,或是联动防火墙进行自动封禁,但这是不够的。在真实的防守场景下,人工封禁是必不可少的。

人工封禁主要是对监控发现和情报传递的恶意IP进行封禁。如何在短时间内,在多台防火墙上(企业可能会有多个互联网出口)迅速封禁,值得研究和优化。

本文总结了一些实用的方法,仅供参考。

恶意ip,java,数据库,运维,安全,人工智能

1. 无缝协同

应该有一个协作平台,至少提供在线文档和即时通信,安全监测人员可以通过在线表格,及时上报各种攻击行为及其IP,网络封禁人员实时查看表格,在IP封禁系统中填入IP,然后一键下发到企业所有互联网出口的防火墙上。

2. 一键下发

企业应建设IP封禁系统,可以在运维自动化系统中建设该模块,也可单独建设。

主要思路是,通过防火墙的API或者SSH方式,实施自动化的登录和操作。

应能够预先选择多台防火墙。

操作员只需要填入IP,或导入批量IP,即可生成将恶意IP加入黑名单的封禁命令,然后下发到预先选择的多台防火墙中。

如果在一定时间内没有页面操作,应强制再次认证。

相应地,应该有对应的解封操作页面。

3. 优先黑名单

主流防火墙提供黑名单封禁和安全策略封禁两种封禁方式。

黑名单封禁方式能立刻中断被封禁IP的现有连接,并禁止后续连接。

安全策略封禁方式完成配置后,可禁止相应IP的后续连接,但不能断掉现有连接。

所以,对监控发现的攻击IP,应优先采用黑名单封禁。

对于大量的情报IP(成千上万),可使用安全策略方式批量封禁。

4. 容量管理

主流防火墙的黑名单容量通常在2万-10万个IP之间,在黑名单封禁IP数量达到容量的50%时,应考虑将黑名单中的封禁IP分批迁移到安全策略中(容量通常在百万级别或者无限制),保障黑名单始终保持充足容量以应对大量突发攻击。

安全策略是关联到IP地址组的,对于主流防火墙而言,每个IP地址组也有容量上限(通常在1000-3000个之间),在做黑名单IP迁移和情报批量导入时,应做好分组管理,地址组命名规则以日期组合序号为宜,如Block20220810-01、Block20220810-02等,以便于封禁IP的查询和回溯。

5. 防误封

为了防止误封,IP封禁系统应实现白名单功能,将企业自有的公网出口IP、合作单位IP等加入白名单。实施封禁时,系统自动对待封禁IP进行白名单检查,防止误封IP导致业务故障。

将IP添加到白名单时,应详细记录加入的原因、关联业务、需求人、操作人、操作时间等,便于管理和追溯。

此外,自动进行合理性检查,尤其是检查带子网掩码的IP,防范因掩码错误导致大网段封禁,此类高危操作应自动强制进入短信审批流程。

因为,我见过有人要封1.2.3.4/32,结果手一抖,封成了1.2.3.4/3。

学过网络的,都知道这是什么意思。

6. 总结

尽可能自动化,尽可能防范误操作,会让你更轻松一点。

文|卫sir文章来源地址https://www.toymoban.com/news/detail-653732.html

到了这里,关于如何封禁大量恶意IP?的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 如何搭建MariaDB并实现无公网ip环境远程连接本地数据库

    🌈个人主页: Aileen_0v0 🔥热门专栏: 华为鸿蒙系统学习|计算机网络|数据结构与算法 ​ 💫个人格言:“没有罗马,那就自己创造罗马~” 本篇教程将使用cpolar内网穿透本地MariaDB数据库,并实现在外公网环境下使用navicat图形化工具远程连接本地内网的MariaDB数据库。 1. 配置MariaD

    2024年01月22日
    浏览(45)
  • 设置数据库服务器电脑固定IP,指定IP,静态IP的方法教程,WIn7电脑如何设置固定IP的方法,设置电脑的指定IP

    设置数据库服务器电脑固定IP,指定IP,静态IP的方法教程,WIn7电脑如何设置固定IP的方法,设置电脑的指定IP_哔哩哔哩_bilibili 本期视频讲解:如何将服务器电脑的IP地址改成固定IP。 https://www.bilibili.com/video/BV1qF411F7wF/ 盘点机PDA登录界面,【连接设置】里,如果是局域网实时在

    2024年02月10日
    浏览(47)
  • 如何实现无公网ip固定TCP端口地址远程连接Oracle数据库

    Oracle,是甲骨文公司的一款关系数据库管理系统,它在数据库领域一直处于领先地位。可以说Oracle数据库系统是世界上流行的关系数据库管理系统,系统可移植性好、使用方便、功能强,适用于各类大、中、小微机环境。它是一种高效率的、可靠性好的、适应高吞吐量的数据

    2024年01月18日
    浏览(49)
  • 如何在CentOS安装SQL Server数据库并实现无公网ip环境远程连接

    简单几步实现在Linux centos环境下安装部署sql server数据库,并结合cpolar内网穿透工具,创建安全隧道将其映射到公网上,获取公网地址,实现在外异地远程连接家里/公司的sqlserver数据库,而无需公网IP,无需设置路由器,亦无需云服务器。 下载 SQL Server 2022 (16.x) Red Hat 存储库配

    2024年02月21日
    浏览(48)
  • ip数据库.

    IP库(也叫IP地址数据库),是由专业技术人员经过长时间通过多种技术手段收集而来的,并且长期有专业人员进行更新、维护、补充。 IP库里面存放了大量的IP地址,方便用户查询,比如,你知道了某个IP,就可以查到这个电脑在哪个省那个市哪条街甚至哪个网吧 反之,你知道

    2024年01月23日
    浏览(30)
  • 恶意IP检测API接口,恶意IP威胁情报查询,通过大数据查询IP是否存在威胁或恶意。

    恶意IP检测,是指使用多种手段来检测IP地址是否存在威胁或恶意。在当前的网络安全环境下,恶意攻击已经成为常态化,各种类型的攻击不断涌现,其中大部分的攻击都是通过IP地址发起的。因此,对IP地址的安全性进行监控和检测,是保障网络安全的重要手段之一。 恶意

    2024年02月06日
    浏览(50)
  • Oracle 数据库限制IP地址连接

      操作系统:Windows 或 Linux   数据库版本:Oracle Database 11.2.0.1.0 及以上版本   出于数据安全考虑,有时候需要对连接 Oracle 数据库的客户端 IP 做一些限制,只有白名单中的IP才能访问。不在白名单中的IP地址连接的时候提示:ORA-12537 TNS 连接已关闭。   1、从需要允许

    2024年02月05日
    浏览(50)
  • 允许任意IP访问mysql数据库

    问题描述 MYSQL默认只能本地连接,即127.0.0.1和localhost,其他主机IP无法访问数据库,否则会出现如下报错信息: Host is not allowed to connect to this MySQL server 一、先在本地用localhost用户登录MYSQL 二、查询用户表 三、、设置允许任意IP访问,执行语句: 四、刷新权限 五、在其他主机

    2024年02月11日
    浏览(34)
  • 让SOME/IP运转起来——SOME/IP系统设计(下)之数据库开发

    上一篇我们介绍了SOME/IP矩阵的设计流程,这一篇重点介绍如何把SOME/IP矩阵顺利的交给下游软件团队进行开发。 当我们完成SOME/IP矩阵开发,下一步需要把开发完成的矩阵换成固定格式的数据库文件,方便软件团队进行开发,目前普遍使用ARXML文件。 ARXML数据库文件开发完成后

    2024年02月04日
    浏览(46)
  • 无公网IP,外网远程连接MySQL数据库

    哈喽~大家好,这篇来看看无公网IP,外网远程连接MySQL数据库。 作为网站运行必备组件之一的数据库,免不了随时对其进行管理维护。若我们没有在安装数据库的电脑旁,但又需要立即对数据库进行管理时,应该如何处理?这时我们可以使用cpolar对内网进行穿透,远程管理和

    2023年04月19日
    浏览(64)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包