目前,恶意IP封堵还是以人工对接操作为主,安全分析平台与防火墙等设备的联动性较弱。
当安全部门发现恶意IP、通知网络部门进行针对性地址封堵后,网络部门首先要根据待封禁IP分析确定封堵目标和范围,再编写封禁脚本下发到目标防火墙等设备,缺少标准化、自动化的应急处置能力,不满足安全防护即时响应需求,还可能产生封禁范围不准或下发脚本有误等风险。
在重保场景下或安全事件频发期,通常会有频繁且大批量的IP封堵需求,人工为主的策略封禁方式在时效性上存在较大滞后,为恶意IP入侵留出了更多时间,大幅增加了安全风险。