蜜罐服务

PDF

聚焦模式

字号

最后更新时间： 2023-12-11 16:39:56

网络蜜罐服务需要和暴露探针关联后才能正常运行，用户在进入网络蜜罐控制台时会默认进入“探针暴露”页面。建议用户先 新建探针，而后新建蜜罐并于相应探针关联。
新建蜜罐
1. 登录 云防火墙控制台，在左侧导航栏中，单击网络蜜罐，进入网络蜜罐页面。
2. 在网络蜜罐页面，选择蜜罐服务，单击新建蜜罐，弹出新建蜜罐服务窗口。
﻿
﻿
3. 在新建蜜罐服务窗口中，配置相关参数后，	单击确定，即可完成新建。
说明
不同的蜜罐服务，所需要配置的参数有所不同，详情请参见 参数说明。
﻿
参数说明
地域：支持国内所有地域，创建实例后不可更改。
实例名称：自定义实例名。
蜜罐服务：包括 ELASTICSEARCH 蜜罐、MYSQL 蜜罐、NGINX 蜜罐、SALTSTACK 蜜罐、SSH 蜜罐、STRUSTS 蜜罐、WEBLOGIC 蜜罐和 WEB 蜜罐。其中，除 WEB 蜜罐外，其余所有类型的蜜罐均内置诱饵与脆弱性。
交互类型
真实服务：高交互类型，后端运行真实服务与诱饵，针对攻击者的每次请求均会真实响应，以此达到充分欺骗攻击者的目的，进而为真实防护争取时间。
仿真服务：中交互类型，后端运行仿真的服务与诱饵，能够根据攻击者的部分请求模拟生成对应的响应信息并诱导攻击者继续执行，从而为真实防护争取时间。
诱饵
ELASTICSEARCH 蜜罐：cve-2014-3120。
SALTSTACK 蜜罐：cve-2020-11651。
SSH 蜜罐：弱口令。
STRUSTS 蜜罐：cve-2017-12611。
WEBLOGIC 蜜罐：cve-2017-10271。
其他蜜罐：无。
自定义诱饵
MYSQL 蜜罐、SSH 蜜罐：可选择登录口令，并设置密码。
WEB 蜜罐：可选择现有的 SSH/MySQL 蜜罐作为自定义诱饵，如果您还没有 SSH/MySQL 蜜罐，请先创建并绑定探针。
其他蜜罐：无。
关联暴露探针：支持从现有添加和新建两种方式关联暴露探针。
从现有添加：单击从现有添加，选择所需探针实例和端口号即可。
﻿
新建：单击新建，配置相关参数后，单击确定，即可在新建蜜罐服务页面处查看到已添加的探针暴露。
﻿
管理蜜罐
筛选/排序
在 网络蜜罐页面，单击搜索框通过“蜜罐 ID、蜜罐名称”等关键词对蜜罐服务事件进行筛选。
单击蜜罐服务列表的表头“蜜罐服务”、“地域”和“交互类型”，即可对蜜罐服务事件进行对筛选。
单击蜜罐服务列表的表头“关联探针”和	“命中次数”，可以按照升序或降序显示蜜罐服务事件。
开启蜜罐
1.1 在网络蜜罐页面，支持单个或批量开启蜜罐，具体操作如下。
选择单个蜜罐 ID，单击 
﻿
或 开启蜜罐，弹出“确认开启”弹窗。
选择多个蜜罐 ID，单击开启蜜罐，弹出“确认开启”弹窗。
1.2 在“确认开启”弹窗中，单击确定，即可开启蜜罐。
说明：
开启蜜罐服务后，关联探针的流量将会转发到对应蜜罐服务中。
关闭蜜罐
1.1 在网络蜜罐页面，支持单个或批量关闭蜜罐，具体操作如下。
选择单个蜜罐 ID，单击 
﻿
或 关闭蜜罐，弹出“确认关闭”弹窗。
选择多个蜜罐 ID，单击关闭蜜罐，弹出“确认关闭”弹窗。
1.2 在“确认关闭”弹窗中，单击确定，即可关闭蜜罐。
说明：
关闭蜜罐服务后，关联探针的流量将无法转发到对应蜜罐服务中。
编辑蜜罐
1. 在 网络蜜罐页面，选择蜜罐服务，单击编辑，弹出编辑蜜罐服务弹窗。
2. 在编辑蜜罐服务弹窗中，可修改实例名称和关联暴露探针，单击确定，即可保存修改。
删除蜜罐
1. 在 网络蜜罐页面，支持单个或批量删除蜜罐，具体操作如下。
选择单个蜜罐 ID，单击删除或删除蜜罐，弹出“确认删除”弹窗。
选择多个蜜罐 ID，单击删除蜜罐，弹出“确认删除”弹窗。
2. 在 “确认删除”弹窗，单击确定，即可删除蜜罐。
注意：
 删除蜜罐服务后，云防火墙将会为你删除掉服务所运行的虚拟环境与资源，同时也会自动解除对应关联探针的转发，请谨慎操作。
﻿