Speaker
Mr
德海 安
(高能所)
Description
伴随Internet网络的高速发展和不断扩大的网络应用,网络安全威胁屡见不鲜,只要是对外网开放服务的系统,每天都可能承受着成千上万次的尝试攻击,这些攻击可以造成网络性能下降,影响业务系统正常工作,甚至会成功地入侵,给系统造成破坏或损失。如何快速阻断和减少这类攻击,成为网络安全管理的一个重要问题。本文结合高能所网络安全管理的应用讲述了基于边界的安全威胁IP封锁方案和相关技术。
通过在网络数据通讯边界设备(防火墙或路由器)上配置访问策略,动态封锁或解封存在安全威胁的IP通讯;与网络安全监测系统和日志分析系统通过消息传递,相互关联实时拦阻来自网络的攻击行为;提供IP白名单过滤和判别功能,避免误封有重要业务关联的IP地址。
本系统部署在高能所网络运行,通过接收来自SOC威胁监测系统,Bro入侵检测平台以及人工监测或情报收集发现的黑IP资源,快速封堵存在安全威胁的IP地址,给来自网络的黑客攻击增加了阻力。封锁过程中收集积累了大量IP地址,可作为网络安全威胁的情报资源。
基于边界路由器的有害IP地址封锁是局域网络安全的重要部分,利用静态路由表的封锁技术应用简单可靠,与在防火墙上封锁IP地址相比,性能开销要小的多,以高能所使用的华为路由器为例,可以封锁百万数量级的IP地址。
Primary author
Mr
德海 安
(高能所)
