#原创计划#联动封锁的IP在封锁攻击者IP里无显示？

>>【原创分享计划2】分享技术经验，赚上千元稿酬！   

版本：8.0.7

    一、问题

    公司的防火墙经常报攻击，各种各样的攻击。

   

   二、解决方法

   NGAF有一个很好用的功能，叫联动封锁。

   配置方法：

   

   配置界面：

   

   勾选“开启联动封锁”即可。

   哪些模块支持联动封锁：

   

   配置之后，联动封锁的IP就会加入到【运行状态】-【封锁攻击者IP】下面。

   三、问题

   1、没有封锁记录

   配置完成该策略后，隔了一段时间，我想查看近期有哪些IP被联动封锁了。

   路径：【运行状态】-【封锁攻击者IP】

   

   结果发现没有一个条目。

   ？？？？明明【运行状态--业务安全--攻击事件】有攻击行为，怎么在“封锁攻击者IP”里没有显示？

   2、排查：

   a.联动封锁策略配置了，但没有生效。

   b.我手工加封堵名单试下。

  

   提示这里点击“加入封堵名单”会加入【策略】--【黑白名单】。

   

   c.求助400。

   发现联动封锁是有时间限制的，即加入【运行状态】-【封锁攻击者IP】的IP在冻结时间过后，会从这个列表中清除。

   默认封锁时间是10分钟，最短3分钟，最长15天。

  修改路径：【运行状态】--【封锁攻击者Ip】--【设置封锁时间】

   

   3、如何查看联动封锁记录

   路径：【内置数据中心】--【日志查询】--【应用控制】

   

   设置查询条件为“联动拒绝”

   

    联动封锁的日志：

   

   四、注意

   1、遇到疑难问题，别自己YY（这个问题我自己存疑好长时间，一直在心里打着问号），赶紧求助。社区发贴、400、比你能力高一阶的工程师，有可能会更快的解决掉某个问题。

   2、防火墙无法管控手机应用，拟，造成别拿AF当AC使。

   3、8.0.7及以上版本支持OSPFv3。

之前有个售后，ip上不了网，直通之后一直显示aifw丢包标记，找了半天，最后发现就是这个联动封锁

感谢楼主分享，联动封锁属于安全的加强型策略，使用场景是当检测到某个源IP发起攻击后，临时封锁一段时间，在这段时间内，该源IP的所有访问请求均会被 拦截，达到防止攻击者不断偿试进攻的目的。一般对安全比较高的场景可以建议开启起来，不过有两点需要注意：
1、“任意攻击行为联动封锁”不建议开启，原因是开启后，匹配到拦截的行为，都会直接封锁，封锁率太高，所以除非是一些特别敏感时期或者对安全要求极高的场景才建议开启起来。日常使用的话，开启“高危行为联动封锁”即可。
2、一些有源地址转换的场景不建议开启起来，如CDN等环境，访问到业务系统的源是同一个源地址，这样会导致只要触发了攻击，那么这个源IP就会被封锁，从而导致该源IP到用户业务访问下面的所有代理请求都会被拦截；
最后，关于联动封锁的日志查看，如楼主所说，控制台有时间限制，到时间后会自动解除，而想查历史日志，需要通过内置数据中心的应用控制日志来查看。  

感谢分享！！！

您好，感谢您参与社区原创分享计划2，您的文章已被收录到计划中，分享激励将在专家小组评审结束后进行派发，再次感谢！

感觉好复杂，不敢弄

看看就好，这个联动封锁不敢随便设置，一但有问题就麻烦了

感谢分享！！！

我的AF也是经常记录被攻击，都是手动添加到黑名单的，但是添加254个IP后就满了

感谢分享

联动封锁功能确实很强大，但如果像楼主这样出现问题排查起来就比较难了，一般我都没有开~~~