安全设备告警IP全自动封禁平台,支持百万IP秒级分析处理。
封禁流水:
平台分为三大模块,分别为:告警日志解析处理模块、核心处理模块、IP封禁/解禁模块。
其中,告警模块处理的IP会传入核心模块,核心模块会对IP进行去重过滤等处理,处理后IP会发送到封禁模块进行封禁。
具体流程思维导图如下:
mkdir SecAutoBan && cd SecAutoBan
wget https://raw.githubusercontent.com/sec-report/SecAutoBan/main/run.sh
chmod +x run.sh
./run.sh
# 停止
./run.sh stop
# 更新
./run.sh updateDocker全部运行后访问 http://127.0.0.1/ 访问管理后台,初始化管理员账号
首先在管理后台添加告警设备:
添加设备后,复制设备连接Key。(注意:设备连接Key仅显示一次,请妥善保存)
使用获得的设备Key运行告警模块,具体使用详情请跳转至:device/alarm 查看。
目前仓库中仅有少量模版,未适配的设备只需手动实现一个函数。对于通用类设备,欢迎适配后提起PR推送至device/alarm目录,方便其他人使用。
首先在管理后台添加封禁设备:
添加设备后,复制设备连接Key。(注意:设备连接Key仅显示一次,请妥善保存)
使用获得的设备Key运行封禁模块,具体使用详情请跳转至:device/block 查看。
目前仓库中仅有少量模版,未适配的设备只需手动实现两个函数。对于通用类设备,欢迎适配后提起PR推送至device/block目录,方便其他人使用。
现有模块如下,实时更新中
| 告警模块 | 封禁模块 |
|---|---|
| 长亭WAF社区版 | 旁路阻断 |
| 微步蜜罐HFish | OPNsense |
| 奇安信天眼 | RouterOS |
| 奇安信椒图 | CheckPoint |
| 绿盟WAF | 奇安信防火墙 |
| 科来网络安全分析审计系统 | 钉钉告警通知 |
- 黑名单就是已经封禁的IP,已封禁的IP都可以在该列表查询到。如果设置了有效期,到期后会自动解禁、删除。
- 新增白名单时会回溯一遍已经封禁的IP,若IP已经封禁会立即封禁,并从黑名单中删除。
- 手动添加IP至黑名单时,会自动对IP进行:格式校验、去重、对比白名单等操作。若添加IP后,平台提示新增的IP比实际填写的IP数量少,属于正常情况,可能已被过滤。
- 核心模块:核心模块不会主动发起TCP连接,只需模块和管理机器能访问Web端口即可。
- 告警模块:如需监听Syslog请打开安全设备到告警模块对应UDP端口,同时告警模块需要正向访问核心模块Web端口(
WebSocket通讯)。 - 封禁模块:封禁模块无需监听任何端口,只需要正向访问核心模块Web端口(
WebSocket通讯),及需要连接的封禁设备即可。
请加好友并备注:
SecAutoBan加群
关注微信公众号:
信息安全报告,更新会第一时间推送
SecReport:ChatGPT加持的,多人在线协同信息安全报告编写平台。