安全态势感知管理平台SIP/探针STA

深信服安全感知平台(简称SIP)是一款面向全行业的大数据安全分析平台,旨在为用户构建一套集检测、可视、响应于一体的本地安全大脑,让安全可感知、易运营,更有价值。
点击可切换产品版本
知道了
不再提醒
SIP3.0.65
{{sendMatomoQuery("安全态势感知管理平台SIP/探针STA","联动封锁")}}

联动封锁

更新时间:2022-07-29

联动封锁适用于安全运维人员快速封锁线下收集的攻击IP,可以预防攻击并遏制风险扩散,通过联动AF,能够便捷、灵活的下发联动封锁策略,在夜间无人值守时建议开启自动联动封锁外部攻击者。

手动封锁配置

在[重保中心/联动封锁]页面下,管理员可以配置手动封锁攻击目标,可以是IP/域名/URL,如下图所示,配置封锁类型、封锁目标、封锁时长以及封锁设备,配置完成后,点击<提交>,即可完成封锁攻击目标的配置。

说明:

配置手动封锁攻击目标的前提:SIP与AF完成设备对接和联动配置。

代理封锁和普通封锁不一样的地方在对代理封锁可以根据X-Forwarder-For、Cdn-Src-Ip、Clientip地址类型封锁,如需要封锁其他字段类型,需在AF进行配置,位置在[对象/web应用防护],编辑引用的模板,点击高级设置。

自动封锁

在联动有AF的情况下,可以配置自动封锁, SIP上外到内的攻击日志,通过对比自动封锁策略的风险等级、攻击日志类型、目标资产、攻击次数等维度条件,都满足后触发对互联网IP进行自动封锁,减少人工运维工作量,一般适用于对抗演习情况下,对于攻击者的实时发现和拦截,封锁的IP会自动刷新在封锁目标列表中,为了防止正常业务也被封锁,在封锁前提取出需要放通的IP或者IP段,并添加到白名单。

封锁策略中是面向外到内的攻击日志,且威胁风险等级、攻击日志类型、遭受攻击的资产、攻击次数这四个条件之间的关系是“与”的关系,必须同时要满足所有条件才会触发。