头像被屏蔽
下一代防火墙有蜜罐相关的功能吗

刘林1 1072

{{ttag.title}}
提示: 作者被禁止或删除 内容自动屏蔽

该疑问已被 解决,获得了 20 S豆

回帖即可获得
2S豆
,被楼主采纳即奖励20S豆+10分钟内回帖奖励10S豆 [已过期] ,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

AF主动诱捕(云蜜罐)配置方法如下:



配置路径:

在【策略】-【安全策略】-【主动诱捕策略】内配置主动诱捕策略

在【安全运营】-【专项防护】-【主动诱捕总览】查看“主动诱捕总览”,点击攻击详情可以看到工具诱捕详细举证

注意:若AF不是在出口,或者在出口但是配置的诱捕IP(真实业务IP或伪装IP非公网IP),则需要在出口设备上映射诱捕策略内配置的IP地址。



配置项释义:

应用场景标签:仅为标记不影响功能,诱捕外网攻击通常用于内网有业务对外发布,诱捕内网扩散通常用于看内网有没有中毒主机

云端分析能力:是否勾启,取决了是使用云蜜罐还是本地伪装,勾启则为开启联动云蜜罐,即在配置过程中即可请求云端绑定服务,但如果云蜜罐授权未开通或者与云端断开连接时,则仅能使用本地伪装

IP类型:真实业务IP则由内网服务器回应ARP报文,伪装IP则由AF设备的代理IP模拟回应ARP报文(如果内网服务器存在某个真实业务,配置此业务的伪装服务时建议配置“真实业务IP”;如不存在,则建议配置“伪装IP”,否则将导致ARP协议失效,黑客无法访问云蜜罐。)

IP/IP段:按IP类型,配置真实IP或者伪装IP,伪装IP可跟内网不同网段,无需考虑路由,是由AF模拟回包

伪装服务类型:配置与相近的真实业务保持一致的服务协议(如HTTP、SMB、SSH等),以保持流量正确能转发至云蜜罐

自动联动封锁:选择拒绝则会联动封锁,选择允许则只记录日志不做自动处置



详情配置可参考如下链接:点击这里



配置注意事项:

1、尽量配置与真实业务相近的IP和端口组合,以增大诱捕面,但不要和真实业务重合,否则将影响真实业务的正常访问

2、不管配置的蜜罐伪装服务用到的是“真实业务IP”还是“伪装IP” ,【系统】-【通用配置】的两个主动诱捕代理IP都必须存在,1.1.1.3 适用于AF路由模式部署场景,而1.1.1.4适用于AF透明/虚拟网线模式部署场景,这两个代理IP地址保持默认即可,无特殊情况无需修改。

3、标准版本AF 8.0.59-8.0.69,AF暂不支持云蜜罐功能,从标准版本AF8.0.75开始支持云蜜罐
本答案是否对你有帮助?
向上吧,少年 发表于 2024-3-25 09:13
  
AF主动诱捕(云蜜罐)配置方法如下:



配置路径:

在【策略】-【安全策略】-【主动诱捕策略】内配置主动诱捕策略

在【安全运营】-【专项防护】-【主动诱捕总览】查看“主动诱捕总览”,点击攻击详情可以看到工具诱捕详细举证

注意:若AF不是在出口,或者在出口但是配置的诱捕IP(真实业务IP或伪装IP非公网IP),则需要在出口设备上映射诱捕策略内配置的IP地址。



配置项释义:

应用场景标签:仅为标记不影响功能,诱捕外网攻击通常用于内网有业务对外发布,诱捕内网扩散通常用于看内网有没有中毒主机

云端分析能力:是否勾启,取决了是使用云蜜罐还是本地伪装,勾启则为开启联动云蜜罐,即在配置过程中即可请求云端绑定服务,但如果云蜜罐授权未开通或者与云端断开连接时,则仅能使用本地伪装

IP类型:真实业务IP则由内网服务器回应ARP报文,伪装IP则由AF设备的代理IP模拟回应ARP报文(如果内网服务器存在某个真实业务,配置此业务的伪装服务时建议配置“真实业务IP”;如不存在,则建议配置“伪装IP”,否则将导致ARP协议失效,黑客无法访问云蜜罐。)

IP/IP段:按IP类型,配置真实IP或者伪装IP,伪装IP可跟内网不同网段,无需考虑路由,是由AF模拟回包

伪装服务类型:配置与相近的真实业务保持一致的服务协议(如HTTP、SMB、SSH等),以保持流量正确能转发至云蜜罐

自动联动封锁:选择拒绝则会联动封锁,选择允许则只记录日志不做自动处置



详情配置可参考如下链接:点击这里



配置注意事项:

1、尽量配置与真实业务相近的IP和端口组合,以增大诱捕面,但不要和真实业务重合,否则将影响真实业务的正常访问

2、不管配置的蜜罐伪装服务用到的是“真实业务IP”还是“伪装IP” ,【系统】-【通用配置】的两个主动诱捕代理IP都必须存在,1.1.1.3 适用于AF路由模式部署场景,而1.1.1.4适用于AF透明/虚拟网线模式部署场景,这两个代理IP地址保持默认即可,无特殊情况无需修改。

3、标准版本AF 8.0.59-8.0.69,AF暂不支持云蜜罐功能,从标准版本AF8.0.75开始支持云蜜罐
“路人甲 发表于 2024-3-25 09:20
  
AF主动诱捕(云蜜罐)配置方法如下:



配置路径:

在【策略】-【安全策略】-【主动诱捕策略】内配置主动诱捕策略

在【安全运营】-【专项防护】-【主动诱捕总览】查看“主动诱捕总览”,点击攻击详情可以看到工具诱捕详细举证

注意:若AF不是在出口,或者在出口但是配置的诱捕IP(真实业务IP或伪装IP非公网IP),则需要在出口设备上映射诱捕策略内配置的IP地址。



配置项释义:

应用场景标签:仅为标记不影响功能,诱捕外网攻击通常用于内网有业务对外发布,诱捕内网扩散通常用于看内网有没有中毒主机

云端分析能力:是否勾启,取决了是使用云蜜罐还是本地伪装,勾启则为开启联动云蜜罐,即在配置过程中即可请求云端绑定服务,但如果云蜜罐授权未开通或者与云端断开连接时,则仅能使用本地伪装

IP类型:真实业务IP则由内网服务器回应ARP报文,伪装IP则由AF设备的代理IP模拟回应ARP报文(如果内网服务器存在某个真实业务,配置此业务的伪装服务时建议配置“真实业务IP”;如不存在,则建议配置“伪装IP”,否则将导致ARP协议失效,黑客无法访问云蜜罐。)

IP/IP段:按IP类型,配置真实IP或者伪装IP,伪装IP可跟内网不同网段,无需考虑路由,是由AF模拟回包

伪装服务类型:配置与相近的真实业务保持一致的服务协议(如HTTP、SMB、SSH等),以保持流量正确能转发至云蜜罐

自动联动封锁:选择拒绝则会联动封锁,选择允许则只记录日志不做自动处置
月光下的眼睛 发表于 2024-3-25 10:49
  
AF主动诱捕(云蜜罐)配置方法如下:



配置路径:

在【策略】-【安全策略】-【主动诱捕策略】内配置主动诱捕策略

在【安全运营】-【专项防护】-【主动诱捕总览】查看“主动诱捕总览”,点击攻击详情可以看到工具诱捕详细举证

注意:若AF不是在出口,或者在出口但是配置的诱捕IP(真实业务IP或伪装IP非公网IP),则需要在出口设备上映射诱捕策略内配置的IP地址。

等我来答:

换一批

发表新帖
热门标签
全部标签>
西北区每日一问
安全效果
高手请过招
【 社区to talk】
社区新周刊
产品连连看
每日一问
干货满满
技术咨询
标准化排查
GIF动图学习
纪元平台
新版本体验
社区帮助指南
信服课堂视频
功能体验
技术盲盒
安装部署配置
解决方案
SDP百科
自助服务平台操作指引
S豆商城资讯
秒懂零信任
每周精选
畅聊IT
答题自测
专家问答
技术笔记
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
143
63

发帖

粉丝

关注

5
8
7

发帖

粉丝

关注

0
1
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人