防火墙新功能--蜜罐测试（部署模式之单臂部署）

1. 原理简述

主动诱捕技术在AF8.0.35中为蜜罐诱捕，在AF8.0.42中新增增强诱捕，当前是采用的是“蜜罐上云”的方法来实现的。蜜罐本身部署在云端，需要防火墙能够正常连接云端，然后防火墙通过NAT转发（不影响防火墙性能），把访问蜜罐的流量引到云端蜜罐上去分析（只引攻击者访问蜜罐的流量或者符合增强诱捕条件中攻击正常业务的流量，不影响其他访问真实业务流量）。

在分析完之后，把访问者在蜜罐中的攻击轨迹、捕获到的指纹信息（比如访问者的社交账号、系统信息等），形成“黑客画像”下发至AF上。同时AF会根据这类威胁情报将攻击者进行联动封锁，从而实现快速发现恶意攻击者、及时阻断。

蜜罐诱捕展示，在【安全运营】--【主动诱捕总览】页面中

[size=16.0000pt]1.1. 蜜罐服务类型

Tomcat_HTTP、AJP、Redis、Hadoop、ssh、telnet、php、mysql、struts2等几十种

[size=16.0000pt]1.2. 蜜罐部署物料准备

A1：8.0.35开始支持，8.0.42版本新增了自定义蜜罐与引流策略。

A2：需要。目前正式版本需要开通某公司云蜜罐序列号

A3：内网IP若干个：最好是跟当前服务器在同一个网段的内网空闲IP；也可以使用真实在用的IP的空闲端口（注意不能跟有实际业务在用的IP+端口冲突）外网IP 1或多个：如果能提供2个外网IP最好。这些外网IP建议复用原有业务IP，流量更多效果更好；（外网IP-1、外网IP-2[若有]）

A4：需要分两种情况。一种是AF之前做升级处理，另外一种是AF新上架。如果是升级处理的话，请参考下面会提到的配置即可；如果是最新上架，需要准备一个管理口（内网）和一个能上外网的业务口（外网）；

1.3蜜罐部署注意事项

部署完毕之后请务必把蜜罐报备，避免HW被扣分或者监管通报。

由于对外暴露的蜜罐服务存在漏洞等脆弱性问题，HW的时候会被攻陷（蜜罐就是吸引攻击队来攻击），因此需要对暴露的蜜罐服务进行必要的报备。

蜜罐具体需要报备的项目如下：

[size=10.5000pt]1. 内外网部署的所有蜜罐服务对应的IP和端口：。

可以参考用户业务，从蜜罐服务中挑选适合用户业务的蜜罐服务进行部署，一个IP对应的服务不宜过多（3-5个）。

[size=10.5000pt]2. 外网蜜罐服务绑定的伪装业务子域名。

报备格式可以参考如下：

部署完毕之后请务必把蜜罐报备，避免HW被扣分或者监管通报。

由于对外暴露的蜜罐服务存在漏洞等脆弱性问题，HW的时候会被攻陷（蜜罐就是吸引攻击队来攻击），因此需要对暴露的蜜罐服务进行必要的报备。

蜜罐具体需要报备的项目如下：

[size=10.5000pt]1. 内外网部署的所有蜜罐服务对应的IP和端口：。

可以参考用户业务，从蜜罐服务中挑选适合用户业务的蜜罐服务进行部署，一个IP对应的服务不宜过多（3-5个）。

[size=10.5000pt]2. 外网蜜罐服务绑定的伪装业务子域名。

2.部署拓扑

步骤1. 先在AF的veth.1接口IP上（本例中为172.10.100.254），取一个同网段中未被使用的IP作为蜜罐IP（本例中相同的网段为172.10.100.0/24，可以取172.10.100.99这个无人使用的IP）,在这个蜜罐IP上配置蜜罐服务。后续需要把蜜罐服务的端口映射到网关出口IP上。

步骤2. 部署蜜罐之前，请确保蜜罐服务的端口不与真实业务端口冲突，如果出现冲突可以修改蜜罐服务的端口（如何修改蜜罐端口请看第四章节FAQ）。

步骤3. 配置主动诱捕策略，把上一步取得的内网IP（本例中为172.10.100.99）来作为蜜罐IP配置。主动诱捕策略的配置方式如下（策略->安全策略->主动诱捕策略->新增）：

步骤4. 配置增强诱捕策略，如果内网服务器是提供http服务，把上一步配置的http伪装服务填入，并根据实际情况关联url和web应用防护的安全策略。增强诱捕策略的配置方式如下（策略->安全策略->增强诱捕策略->新增），这里伪装服务的IP要填写出口映射给AF的公网IP：

步骤5. 部署完之后，请在网关设备上做DNAT端口映射，把这些蜜罐的服务映射到公网去。

3.疑问解答

主动诱捕策略中的“真实业务IP”和“伪装IP”的差别是什么？

“真实业务IP”本身指的是目前已经有设备在使用了的IP，部署在网口上的；

“伪装IP”指的是目前未被人使用的、没有被配置到网口上的IP。这个主要是AF模拟网卡生成的虚拟IP，用于告知网关流量要往哪里走的（在本例中，主要用于把网关流量引到防火墙的蜜罐IP上）；

什么时候使用“伪装IP”？什么时候使用“真实业务IP”？

1. 一般在防火墙部署在外网边界，如“AF作为网关部署”、“AF在网关前面部署透明模式”这种类型的，必须使用外网IP来配置的场景，推荐使用“真实业务IP”来做蜜罐载体；

[size=10.5000pt]1. 如果防火墙部署在内网（边界内部），如“AF作为DNAT节点部署”、“AF在网关后面部署透明模式”这种类型的，防火墙本身配置的是内网IP。这种情况下就可以伪装IP了，找一些没在使用的IP来做伪装其实是最好的选择。但如果所有的内网IP都使用完了，那就只能使用“真实业务IP了”。

[size=10.5000pt]2. 但是无论选用哪种配置方式，有一点必须严格准守：蜜罐服务的端口不能与真实业务的端口冲突。

增强诱捕策略中的“匹配域名/URL访问规则”是否需要填写真实业务的URL？

A4: 不能填写真实的URL地址，会影响正常业务的访问，必须填写虚拟的URL地址，比如真实URL是192.168.2.2/framework.php，就可以配置个不存在的URL地址192.168.2.2/frame.php

旁路镜像部署模式下，是否支持使用主动诱捕功能？

A5: 不支持。旁路镜像流量，访问流量不会与AF建立TCP连接，访问流量在内核防火墙路径选择模块就判断是否为旁路，如是，访问流量不会上到AF四层网络。其他部署模式下都支持。

4.测试效果

这个资料很专业很全面，给作者点赞

图文并茂，感谢分享，收藏学习。

感谢分享，有助于工作，学习学习

这个资料很专业很全面，给作者点赞

感谢分享，有助于工作，学习学习

这个资料很专业很全面，给作者点赞

图文并茂，感谢分享，收藏学习。

感谢分享，有助于工作，期待您更多的分享

感谢楼主分享，华强哥666