配置云蜜罐的管理节点与探针 - Security Center

您可以使用雲蜜罐功能，通過在您的阿里雲VPC、伺服器上部署雲蜜罐，檢測您伺服器在雲內、雲外受到的真實攻擊，甚至溯源反制攻擊者，提升安全感知和威懾能力。本文介紹如何配置雲蜜罐。

前提條件

已開通雲蜜罐功能。具體操作，請參見開通雲蜜罐服務。

如果您要線上下IDC中的無公網伺服器上部署雲蜜罐，需要線上下IDC上搭建雲蜜罐Proxy 伺服器，然後在Security Center建立探針時配置代理IP，實現雲蜜罐代理接入。

如何線上下IDC搭建雲Proxy 伺服器？

準備至少一台用於蜜罐代理的伺服器，確認伺服器上已安裝gcc和zlib-devel。
下載使用支援反向 Proxy的Nginx版本。
雲蜜罐的串連為HTTPS，需要四層代理，下載後編譯安裝的時候需要加上--with-stream參數。
```
tar -xvf nginx-1.9.0.tar.gz
cd nginx-1.9.0
./configure --without-http_rewrite_module --with-stream
make
make install
```

在Nginx應用/usr/local/nginx/conf/目錄下，修改nginx.conf設定檔。

#user nobody;
worker_processes auto;
error_log logs/error.log;

#error_log logs/error.log notice;
error_log logs/error.log info;
pid logs/nginx.pid;

events {
    use epoll;
    worker_connections 60000;
}

stream {
        server {
            listen 1337;
            proxy_timeout 10m;
            proxy_connect_timeout 60s;
            proxy_pass proxy1337;
        }
        upstream proxy1337 {
           #蜜罐管理節點IP可在雲蜜罐>組態管理的管理節點頁簽下的目標管理節點的管理節點IP列查看
           server #蜜罐管理節點IP#:1337; 
        }

        server {
            listen 1338;
            proxy_timeout 10m;
            proxy_connect_timeout 60s;
            proxy_pass proxy1338;
        }
        upstream proxy1338 {‘’
          #蜜罐管理節點IP可在雲蜜罐>組態管理的管理節點頁簽下的目標管理節點的管理節點IP列查看
           server #蜜罐管理節點IP#:1338; 
        }
}

設定檔修改完成後，執行以下命令，啟動Nginx。
```
/usr/local/nginx/sbin/nginx
```

配置流程概述

重要

在配置雲蜜罐的過程中，請確保新增主機探針所在的主機伺服器能夠成功訪問其綁定的相應管理節點。

步驟一：新增管理節點

管理節點是提供蜜罐服務的系統，探針轉寄的流量最終會進入管理節點中配置的各種蜜罐服務。管理節點是整個系統的核心與基礎。

登入Security Center控制台。在控制台左上方，選擇需防護資產所在的地區：中國或全球（不含中國）。
在左側導覽列選擇風險治理 > 雲蜜罐 > 組態管理。

在組態管理頁面的管理節點頁簽，單擊建立節點，完成建立管理節點的配置，然後單擊確定。

配置項	說明
管理節點名稱	設定管理節點的名稱。
分配探針數	設定該管理節點的探針數。分配探針數不能小於20，不能超過100。設定的探針數超過100時，系統會自動化佈建為100。建議每個C段安裝2~3個主機探針，每個VPC安裝1個VPC黑洞探針。說明探針的作用是流量導流，雲蜜罐支援主機探針和VPC黑洞探針。主機探針：原理為在主機上安裝Client，將配置的本機連接埠流量轉寄至後端蜜罐叢集。 VPC黑洞探針：當VPC內IP_A 訪問一個不存在的內網IP_B 時，網路裝置將流量引流至VPC黑洞探針，VPC黑洞探針根據所配置的蜜罐映射規則，建立IP_A 與蜜罐IP_C 的正常串連，此操作對IP_A 透明。主機探針通過安裝在主機上，進行連接埠流量導流至蜜罐服務。VPC黑洞探針安裝在VPC上，將目標IP不存在的且為內網IP的流量，匯入至蜜罐服務。
允許存取網段	設定該管理節點與主機探針的允許存取網段，即允許探針的哪些出口IP訪問該管理節點。預設配置為0.0.0.0/0。最多支援設定100個允許存取網段。服務過程中探針需要和管理節點進行通訊，請確保探針的出口IP在允許存取網段內。
允許蜜罐訪問外網	設定該管理節點是否允許蜜罐訪問外網。重要開啟此功能，可能存在安全風險，攻擊者可以成功入侵蜜罐後進行強攻擊；不開啟的情況下，僅支援攻擊檢測，適用於內網情境。

您可以在管理節點列表中查看您建立的管理節點。建立的管理節點的管理節點狀態為準備中，這個狀態會持續5分鐘左右，請您耐心等待，直到管理節點狀態為正常。

（可選）步驟二：蜜罐模板

蜜罐模板功能可針對不同蜜罐類型配置不同的自訂屬性，構造出符合業務情境的蜜罐，以類比出更真實的應用。其中可以自訂的蜜罐類型包括但不限於網站title、OA背景圖、Web頁面資料等。您可根據您的業務需要定製蜜罐模板。

在組態管理頁面的蜜罐模板頁簽的左側選擇蜜罐類型，然後單擊建立模板。
在建立模板面板上，配置蜜罐模板相關資訊，然後單擊確定。
配置項
說明
模板名稱
設定蜜罐模板的名稱。
管理節點
選擇部署雲蜜罐的管理節點。即您步驟一中建立的管理節點。
說明
蜜罐模板的其他配置項的設定，因選擇的蜜罐類型不同配置也稍有差別。如果您需要設定這部分配置項，具體設定方法，您可以通過提交工單聯絡技術支援人員。

步驟三：新增蜜罐

蜜罐是蜜罐服務的基礎單位，系統預設有許多內建蜜罐鏡像，通過蜜罐鏡像建立對應的蜜罐執行個體，從而提供蜜罐服務。

在組態管理頁面的蜜罐管理頁簽，單擊建立蜜罐。

在建立蜜罐面板完成蜜罐配置，然後單擊確定。

配置項	說明
名稱	設定蜜罐的名稱。
管理節點	選擇部署雲蜜罐的管理節點。即您在步驟一中建立的管理節點。
蜜罐類型	選擇蜜罐的類型。支援選擇的蜜罐的大類有以下幾種： Web 進階特殊缺陷系統服務資料庫
自訂蜜罐配置	選中複選框後，可配置蜜罐的自訂屬性。支援針對不同蜜罐類型配置不同的自訂屬性，構造出符合業務情境的蜜罐，以類比出更真實的應用。其中可以自訂的蜜罐類型包括但不限於網站標題、OA背景圖、Web頁面資料等。您也可以通過提前配置蜜罐模板，然後通過匯入模板配置的方式，添加自訂蜜罐配置。關於自訂蜜罐、蜜罐模板的配置操作，您可以通過提交工單聯絡技術支援人員。

步驟四：新增探針

探針是導流的工具，功能是將主機、網路中的異常流量導流至蜜罐服務，有VPC探針和主機探針兩種類型。

在組態管理頁面的探針管理頁簽下，選擇新增探針 > 主機探針或者VPC黑洞探針。

在探針配置面板，完成探針配置，然後單擊確定。

新增主機探針的配置項說明：

配置項	說明
探針名稱	設定探針的名稱。
管理節點	選擇部署探針的伺服器對應的管理節點。即您步驟一中建立的管理節點。
代理IP	如果您是通過Proxy 伺服器線上下IDC伺服器中部署雲蜜罐，請填寫Proxy 伺服器的IP；如果不是則不用填寫。
部署主機	選擇部署探針的伺服器。
佈建服務	設定訪問流量轉寄的蜜罐的名稱和監聽連接埠。說明監聽連接埠是主機（例如ECS）上連接埠，探針會把訪問該連接埠的流量引流到蜜罐中，所以需要確保主機上沒有其他服務佔用該連接埠，該連接埠僅提供給探針使用。

新增VPC黑洞探針的配置項說明：

重要

僅支援在阿里雲VPC下建立蜜罐執行個體，不支援在其他網路下建立。每個VPC下僅支援建立一個蜜罐執行個體。目前僅支援在部分地區部署VPC黑洞探針。詳細資料，請參見使用限制。

配置項	說明
探針名稱	設定探針的名稱。
管理節點	選擇探針部署的伺服器對應的管理節點。即您在步驟一中建立的管理節點。
部署VPC	選擇部署探針的VPC。
佈建服務	設定訪問流量轉寄的蜜罐的名稱和監聽連接埠。

後續步驟

雲蜜罐配置後，雲蜜罐通過探針監測轉移攻擊者目標，讓攻擊者在蜜罐中攻擊真實偽裝應用，並會記錄這些攻擊的資訊形成警示事件。您可以通過查看和處理警示事件，提升您的伺服器和VPC的安全防禦。具體操作，請參見查看和處理警示事件。

配置項	說明
模板名稱	設定蜜罐模板的名稱。
管理節點	選擇部署雲蜜罐的管理節點。即您步驟一中建立的管理節點。