如何封禁大量恶意IP？

摘要：封禁IP分为自动封禁和人工封禁，本文主要介绍如何人工封禁。人工封禁的关键是：无缝协同，方便操作，批量化，一键式，防误封，高容量。

IP封禁是对付网络攻击的最直接、最有效的方法。

在网络安全防御体系中，有些系统和设备，可以通过TCP reset、返回HTTP错误等方式自动拦截，或是联动防火墙进行自动封禁，但这是不够的。在真实的防守场景下，人工封禁是必不可少的。

人工封禁主要是对监控发现和情报传递的恶意IP进行封禁。如何在短时间内，在多台防火墙上（企业可能会有多个互联网出口）迅速封禁，值得研究和优化。

本文总结了一些实用的方法，仅供参考。

1. 无缝协同

应该有一个协作平台，至少提供在线文档和即时通信，安全监测人员可以通过在线表格，及时上报各种攻击行为及其IP，网络封禁人员实时查看表格，在IP封禁系统中填入IP，然后一键下发到企业所有互联网出口的防火墙上。

2. 一键下发

企业应建设IP封禁系统，可以在运维自动化系统中建设该模块，也可单独建设。

主要思路是，通过防火墙的API或者SSH方式，实施自动化的登录和操作。

应能够预先选择多台防火墙。

操作员只需要填入IP，或导入批量IP，即可生成将恶意IP加入黑名单的封禁命令，然后下发到预先选择的多台防火墙中。

如果在一定时间内没有页面操作，应强制再次认证。

相应地，应该有对应的解封操作页面。

3. 优先黑名单

主流防火墙提供黑名单封禁和安全策略封禁两种封禁方式。

黑名单封禁方式能立刻中断被封禁IP的现有连接，并禁止后续连接。

安全策略封禁方式完成配置后，可禁止相应IP的后续连接，但不能断掉现有连接。

所以，对监控发现的攻击IP，应优先采用黑名单封禁。

对于大量的情报IP（成千上万），可使用安全策略方式批量封禁。

4. 容量管理

主流防火墙的黑名单容量通常在2万-10万个IP之间，在黑名单封禁IP数量达到容量的50%时，应考虑将黑名单中的封禁IP分批迁移到安全策略中（容量通常在百万级别或者无限制），保障黑名单始终保持充足容量以应对大量突发攻击。

安全策略是关联到IP地址组的，对于主流防火墙而言，每个IP地址组也有容量上限（通常在1000-3000个之间），在做黑名单IP迁移和情报批量导入时，应做好分组管理，地址组命名规则以日期组合序号为宜，如Block20220810-01、Block20220810-02等，以便于封禁IP的查询和回溯。

5. 防误封

为了防止误封，IP封禁系统应实现白名单功能，将企业自有的公网出口IP、合作单位IP等加入白名单。实施封禁时，系统自动对待封禁IP进行白名单检查，防止误封IP导致业务故障。

将IP添加到白名单时，应详细记录加入的原因、关联业务、需求人、操作人、操作时间等，便于管理和追溯。

此外，自动进行合理性检查，尤其是检查带子网掩码的IP，防范因掩码错误导致大网段封禁，此类高危操作应自动强制进入短信审批流程。

因为，我见过有人要封1.2.3.4/32，结果手一抖，封成了1.2.3.4/3。

学过网络的，都知道这是什么意思。

6. 总结

尽可能自动化，尽可能防范误操作，会让你更轻松一点。

文｜卫sir