想要自查并提高網絡安全應急響應能力？

想要快速增加安全運維人員的實戰經驗？

想要針對安全防御體系的薄弱點進行改善？

最好的方式是攻防實戰演練，而安全事件應急處置是其中非常重要的環節。

在這個環節上，防守方會遇到各種問題。

實時封堵攻擊IP，太疲勞

發現攻擊流量時，一般有三種處理方式：

1、阻止會話；

2、阻止會話并短暫封堵IP；

3、阻止會話并長期封堵IP。

攻防演練場景中，防守方無法預知攻擊方使用的手段和工具。安全設備也許攔截了這次攻擊，但誰也不敢保證可否攔截下次攻擊乃至所有攻擊。

因此，防守方需要實時封堵攻擊IP，阻止這一IP的后續攻擊，迫使攻擊方不斷更換IP或放棄攻擊，提高攻擊成本。

這使得防守方非常疲勞，甚至需要7*24小時不間斷值守。

惡意地址眾多，黑名單不夠用

網絡中惡意IP和域名數量眾多，某威脅情報平臺中記錄的數量就達千萬級別。

而一般防火墻的黑名單數量只有幾千個到幾萬個不等，在攻防演練場景中，這種數量級的黑名單完全不夠用。

防守方需要可以支持更多IP封禁條目的安全產品。

人工封禁，效率低

目前，應急處置方式多為：出現告警后，人工配置將攻擊IP加入黑名單，這種方式的問題是時效性差。

如果攻擊方找到突破點，在幾分鐘內就可以入侵系統，完成信息盜取或系統破壞，人工封禁方式可能無法及時處置。

在攻擊比較集中的時間段，同時會有上百條告警，人工逐一下發封堵配置效率低。

防守方還需要更高效、自動化的應急處置方式。

自動化安全事件應急處置

千萬數量級惡意地址攔截

為解決這些問題，安博通推出面向網絡攻防場景的應急攔截網關產品。

· 專業應急處置：串行或旁路部署在網絡出口前端，對惡意IPv4/IPv6地址、域名地址進行100%攔截，不給攻擊者留下探測或掃描的機會。

· 千萬級黑名單：支持千萬級黑名單規則，滿足海量離散IP地址封禁需求；過期規則自動刪除，無需人工參與，應急處置游刃有余。

· 急速匹配生效：查詢匹配過程中，Hash算法只需讀取一次內存，減少查詢時間，實現高速匹配；通過Hash桶方式存儲匹配規則，新增或修改規則時無需對整體進行處理，加快配置生效速度，減少系統資源消耗，還可避免哈希沖突。

· RESTful API：通過REST API與安全數據平臺聯動，將情報數據轉化為實際封堵行為，擴展其價值；配合完成“檢測-分析-攔截”全自動化處置，縮短攻擊者可利用時間，讓其無可乘之機。

應急攔截網關具有容量大、響應快、可靠性高等特點，面向攻防演練場景，助力防守方輕松完成安全事件的應急處置。