AF如何自动把检测到的攻击IP拉黑

新手455161 1295

{{ttag.title}}
AF如何自动把检测到的攻击IP拉黑

解决该疑问,预计可以帮助到 18096 人!

回帖即可获得
2S豆
,被楼主采纳即奖励20S豆+10分钟内回帖奖励10S豆 [已过期] ,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

小鱼儿 发表于 2024-11-11 19:50
  
联动封锁的作用:

AF临时封堵规则是指联动封锁,AF设备的联动封锁功能匹配上对应封锁规则之后,会将对应的源IP、目的IP、目的端口加入【封锁者名单】,封锁明细如下:

AF手动添加的联动封锁是可以针对该源或者目的IP通过防火墙的所有数据进行拦截,不支持同时设置源IP和目的IP;

AF安全策略自动联动封锁主要是根据匹配上的攻击来决定的,即拦截源目IP和端口与攻击数据包里源目IP和端口一致的流量。



注意事项:

1、AF标准版本AF2.2开始支持【联动封锁源IP】,标准版本AF6.7修改为【封锁攻击者IP】,标准版本AF8.0.35改成【临时封锁名单】

2、IPS/WAF/僵尸网络模块可以配置联动封锁 ,仅“阻断”事件会触发联动封锁

3、截止标准版本AF8.0.95,AF联动封锁目前不针对用户名做封锁,AF6.8之前是对目的IP和源IP进行封锁;AF6.8之后是针对数据包的5元组进行封锁

4、截止标准版本AF8.0.95,联动封锁不可以将源IP+目的IP移入永久封锁

5、被联动封锁的主机可访问NGAF控制台,无法访问数据中心

6、临时封锁名单容量在标准版本AF7.4之前版本,最大支持1000个,封锁达到上限之后就不再进行封锁了,从标准版本AF7.4版本开始~AF8.0.95版本:联动封锁IP最大支持2万个,封锁达到上限之后就不再进行封锁了;被联动封锁的拒绝记录在应用控制日志中查询

7、AF的联动封锁ip手动添加的时候,可以批量添加,一行一个即可
池鱼故渊 发表于 2024-11-11 20:09
  
联动封锁了解一下                                                                           
sangfor_0001 发表于 2024-11-11 21:03
  
联动封锁起到的作用和你要求的差不多
王老师 发表于 2024-11-12 08:10
  
深信服(Sangfor)的下一代防火墙(NGFW)或应用防火墙(AF)提供了自动检测和防御攻击的功能,可以自动将检测到的攻击IP拉黑。以下是如何配置AF以自动拉黑攻击IP的步骤:

1. 登录AF管理界面
访问管理界面:
打开浏览器,输入AF设备的管理IP地址,例如 https://192.168.1.1
使用管理员账户和密码登录。
2. 导航到安全策略
进入安全策略:
登录后,点击顶部菜单栏中的“安全策略”或“安全防护”。
3. 配置攻击防护
进入攻击防护设置:
在左侧导航栏中,找到并点击“攻击防护”或“入侵防御”选项。
启用攻击防护:
确保攻击防护功能已启用。
选择需要启用的攻击防护类型,如“DDoS防护”、“Web攻击防护”等。
4. 配置自动拉黑设置
进入黑名单设置:
在攻击防护设置页面中,找到“黑名单”或“自动拉黑”选项。
启用自动拉黑:
启用自动拉黑功能。
设置自动拉黑的条件,如攻击次数、攻击类型等。
配置拉黑时间和范围:
设置拉黑的时间范围,例如拉黑24小时。
设置拉黑的IP范围,例如仅拉黑攻击IP,或拉黑整个子网。
5. 配置日志和告警
启用日志记录:
在日志设置中,启用攻击防护日志记录。
设置日志记录的详细程度,如记录攻击类型、攻击源IP、攻击时间等。
配置告警通知:
在告警设置中,配置告警通知方式,如邮件、短信等。
设置告警阈值,例如当攻击次数达到一定阈值时发送告警通知。
6. 保存配置
保存设置:
完成所有配置后,点击“保存”或“应用”按钮,保存配置。
7. 测试和验证
触发攻击测试:
模拟攻击行为,测试AF是否能够正确检测并自动拉黑攻击IP。
查看日志:
在日志管理页面中,查看攻击防护日志,确保攻击IP已被正确拉黑。
检查告警通知是否按预期发送。
示例配置步骤
启用攻击防护
进入攻击防护设置:
导航到“安全策略” -> “攻击防护”。
启用攻击防护功能,选择需要启用的攻击防护类型。
配置自动拉黑:
在攻击防护设置中,找到“自动拉黑”选项。
启用自动拉黑功能。
设置拉黑条件,例如:
攻击次数:5次
拉黑时间:24小时
拉黑范围:攻击IP
保存设置:
点击“保存”或“应用”按钮,保存配置。
配置日志和告警
启用日志记录:
导航到“日志管理” -> “日志设置”。
启用攻击防护日志记录。
设置日志记录的详细程度。
配置告警通知:
导航到“系统管理” -> “告警设置”。
配置告警通知方式,如邮件、短信。
设置告警阈值,例如:
攻击次数:5次
告警通知方式:邮件
保存设置:
点击“保存”或“应用”按钮,保存配置。
注意事项
测试环境:在生产环境中启用自动拉黑功能前,建议先在测试环境中进行充分测试,确保配置正确且不影响正常业务。
日志管理:定期检查和管理日志文件,确保日志文件的大小和存储空间合理。
告警阈值:合理设置告警阈值,避免频繁的告警通知干扰正常工作。
实习19857 发表于 2024-11-12 08:54
  
安全策略联动封锁就行!!!!
玉出昆山 发表于 2024-11-12 10:28
  
联动封锁能够满足你的要求,但是还是建议手动比较稳妥。
新手981388 发表于 2024-11-12 10:57
  
截止当前标准版本AF8.0.95,AF如下模块会触发联动封锁:

1、开启【高危行为联动封锁】暂时只有如下模块在拦截动作为拒绝时支持联动封锁,其他模块皆不支持

IPS漏洞防护策略的部分高危漏洞、

WEB应用防护策略的部分高危攻击(CSRF防护、webshell、url防护、CC攻击)

DOS防护

2、开启【任意攻击行为联动封锁】,会对所有模块(僵尸网络除外)拦截动作为拒绝的攻击行为进行联动封锁;僵尸网络只针对规则库识别的黑IP数据和木马类型数据进行联动封锁



没开启联动封锁但是会自动触发联动封锁的功能:

1、AF的IPS与WAF策略动作拒绝、没开联动封锁,IPS策略中口令暴力破解、WAF策略中的CC攻击,匹配上后会自动进行联动封锁

2、DOS策略拒绝,对应策略的端口扫描、IP扫描以及洪水攻击防护匹配上,也会进行相应的封锁



注意:

1、在【运行状态】-【封锁攻击者IP】查看封锁IP

2、触发安全策略不会自动添加到永久封锁名单(黑名单)
书涵139 发表于 2024-11-12 16:42
  

联动封锁起到的作用和你要求的差不多
飞飞侠 发表于 2024-11-13 12:17
  
联动封锁能够满足你的要求,但是还是建议手动比较稳妥。

等我来答:

换一批

发表新帖
作者其他文章
热门标签
全部标签>
西北区每日一问
安全效果
高手请过招
【 社区to talk】
技术盲盒
社区新周刊
每日一问
新版本体验
干货满满
技术咨询
纪元平台
产品连连看
标准化排查
GIF动图学习
功能体验
社区帮助指南
信服课堂视频
安装部署配置
解决方案
SDP百科
自助服务平台操作指引
玩转零信任
S豆商城资讯
秒懂零信任
每周精选
畅聊IT
答题自测
专家问答
技术笔记
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
143
63

发帖

粉丝

关注

5
8
7

发帖

粉丝

关注

0
1
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人