更新时间:2022-07-29
联动封锁适用于安全运维人员快速封锁线下收集的攻击IP,可以预防攻击并遏制风险扩散,通过联动AF,能够便捷、灵活的下发联动封锁策略,在夜间无人值守时建议开启自动联动封锁外部攻击者。
手动封锁配置
在[重保中心/联动封锁]页面下,管理员可以配置手动封锁攻击目标,可以是IP/域名/URL,如下图所示,配置封锁类型、封锁目标、封锁时长以及封锁设备,配置完成后,点击<提交>,即可完成封锁攻击目标的配置。
说明:
配置手动封锁攻击目标的前提:SIP与AF完成设备对接和联动配置。
代理封锁和普通封锁不一样的地方在对代理封锁可以根据X-Forwarder-For、Cdn-Src-Ip、Clientip地址类型封锁,如需要封锁其他字段类型,需在AF进行配置,位置在[对象/web应用防护],编辑引用的模板,点击高级设置。
自动封锁
在联动有AF的情况下,可以配置自动封锁, SIP上外到内的攻击日志,通过对比自动封锁策略的风险等级、攻击日志类型、目标资产、攻击次数等维度条件,都满足后触发对互联网IP进行自动封锁,减少人工运维工作量,一般适用于对抗演习情况下,对于攻击者的实时发现和拦截,封锁的IP会自动刷新在封锁目标列表中,为了防止正常业务也被封锁,在封锁前提取出需要放通的IP或者IP段,并添加到白名单。
封锁策略中是面向外到内的攻击日志,且威胁风险等级、攻击日志类型、遭受攻击的资产、攻击次数这四个条件之间的关系是“与”的关系,必须同时要满足所有条件才会触发。