如何配置云蜜罐 - 云安全中心

您可以使用云蜜罐功能，通过在您的阿里云VPC、服务器上部署云蜜罐，检测您服务器在云内、云外受到的真实攻击，甚至溯源反制攻击者，提升安全感知和威慑能力。本文介绍如何配置云蜜罐。

前提条件

已开通云蜜罐功能。具体操作，请参见开通云蜜罐服务。

如果您要在线下IDC中的无公网服务器上部署云蜜罐，需要在线下IDC上搭建云蜜罐代理服务器，然后在云安全中心创建探针时配置代理IP，实现云蜜罐代理接入。

如何在线下IDC搭建云代理服务器？

准备至少一台用于蜜罐代理的服务器，确认服务器上已安装gcc和zlib-devel。
下载使用支持反向代理的Nginx版本。
云蜜罐的连接为HTTPS，需要四层代理，下载后编译安装的时候需要加上--with-stream参数。
```
tar -xvf nginx-1.9.0.tar.gz
cd nginx-1.9.0
./configure --without-http_rewrite_module --with-stream
make
make install
```

在Nginx应用/usr/local/nginx/conf/目录下，修改nginx.conf配置文件。

#user nobody;
worker_processes auto;
error_log logs/error.log;

#error_log logs/error.log notice;
error_log logs/error.log info;
pid logs/nginx.pid;

events {
    use epoll;
    worker_connections 60000;
}

stream {
        server {
            listen 1337;
            proxy_timeout 10m;
            proxy_connect_timeout 60s;
            proxy_pass proxy1337;
        }
        upstream proxy1337 {
           #蜜罐管理节点IP可在云蜜罐>配置管理的管理节点页签下的目标管理节点的管理节点IP列查看
           server #蜜罐管理节点IP#:1337; 
        }

        server {
            listen 1338;
            proxy_timeout 10m;
            proxy_connect_timeout 60s;
            proxy_pass proxy1338;
        }
        upstream proxy1338 {‘’
          #蜜罐管理节点IP可在云蜜罐>配置管理的管理节点页签下的目标管理节点的管理节点IP列查看
           server #蜜罐管理节点IP#:1338; 
        }
}

配置文件修改完成后，执行以下命令，启动Nginx。
```
/usr/local/nginx/sbin/nginx
```

配置流程概述

蜜罐配置流程图

步骤一：新增管理节点

管理节点是提供蜜罐服务的系统，探针转发的流量最终会进入管理节点中配置的各种蜜罐服务上。管理节点是整个系统的核心与基础。

登录云安全中心控制台。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。
在左侧导航栏选择风险管理 > 云蜜罐 > 配置管理。

在配置管理页面的管理节点页签，单击新建节点，完成新建管理节点的配置，然后单击确定。

配置项	说明
管理节点名称	设置管理节点的名称。
分配探针数	设置该管理节点的探针数。分配探针数不能小于20，不能超过100。设置的探针数超过100时，系统会自动设置为100。建议每个C段安装2~3个主机探针，每个VPC安装1个VPC黑洞探针。说明探针的作用是流量导流，云蜜罐支持主机探针和 VPC黑洞探针。主机探针通过安装在主机上，进行端口流量导流至蜜罐服务。VPC黑洞探针安装在VPC上，将目标IP不存在的且为内网IP的流量，导入至蜜罐服务。
放行网段	设置该管理节点与主机探针的放行网段，即允许探针的哪些出口IP访问该管理节点。默认配置为0.0.0.0/0。最多支持设置100个放行网段。服务过程中探针需要和管理节点进行通信，请确保探针的出口IP在放行网段内。
允许蜜罐访问外网	设置该管理节点是否允许蜜罐访问外网。重要开启此功能，可能存在安全风险，攻击者可以成功入侵蜜罐后进行强攻击；不开启的情况下，仅支持攻击检测，适用于内网场景。

您可以在管理节点列表中查看您新建的管理节点。新建的管理节点的管理节点状态为准备中，这个状态会持续5分钟左右，请您耐心等待。

步骤二：蜜罐模板（可选）

蜜罐模板功能可针对不同蜜罐类型配置不同的自定义属性，构造出符合业务场景的蜜罐，以模拟出更真实的应用。其中可以自定义的蜜罐类型包括但不限于网站title、OA背景图、Web页面数据等。您可根据您的业务需要定制蜜罐模板。

在配置管理页面的蜜罐模板页签的左侧选择蜜罐类型，然后单击新建模板。
在创建模板面板上，配置蜜罐模板相关信息，然后单击确定。
配置项
说明
模板名称
设置蜜罐模板的名称。
管理节点
选择部署云蜜罐的管理节点。即您步骤一中新建的管理节点。
说明
蜜罐模板的其他配置项的设置，因选择的蜜罐类型不同配置也稍有差别。如果您需要设置这部分配置项，具体设置方法，您可以通过提交工单联系技术支持人员。

步骤三：新增蜜罐

蜜罐是蜜罐服务的基础单位，系统默认有许多内置蜜罐镜像，通过蜜罐镜像创建对应的蜜罐实例，从而提供蜜罐服务。

在配置管理页面的蜜罐管理页签，单击新建蜜罐。

在新建蜜罐面板完成蜜罐配置，然后单击确定。

配置项	说明
名称	设置蜜罐的名称。
管理节点	选择部署云蜜罐的管理节点。即您步骤一中新建的管理节点。
蜜罐类型	选择蜜罐的类型。支持选择的蜜罐的大类有以下几种： Web 高级特殊缺陷系统服务数据库
自定义蜜罐配置	配置蜜罐的自定义属性。支持针对不同蜜罐类型配置不同的自定义属性，构造出符合业务场景的蜜罐，以模拟出更真实的应用。其中可以自定义的蜜罐类型包括但不限于网站title、OA背景图、Web页面数据等。您也可以通过提前配置蜜罐模板，然后通过导入模板配置的方式，添加自定义蜜罐配置。关于自定义蜜罐、蜜罐模板的配置操作，您可以通过提交工单联系技术支持人员。

步骤四：新增探针

探针是导流的工具，功能是将主机、网络中的异常流量导流至蜜罐服务，有VPC探针和主机探针两种类型。

在配置管理页面的探针管理页签下，选择新增探针 > 主机探针或者VPC黑洞探针。

在探针配置面板，完成探针配置，然后单击确定。

新增主机探针的配置项说明：

配置项	说明
探针名称	设置探针的名称。
管理节点	选择部署探针的服务器对应的管理节点。即您步骤一中新建的管理节点。
代理IP	如果您是通过代理服务器在线下IDC服务器中部署云蜜罐，请填写代理服务器的IP；如果不是则不用填写。
部署主机	选择部署探针的服务器。
配置服务	设置访问流量转发的蜜罐的名称和监听端口。

新增VPC黑洞探针的配置项说明：

重要

仅支持在阿里云VPC下创建蜜罐实例，不支持在其他网络下创建。每个VPC下仅支持创建一个蜜罐实例。目前仅支持在部分地域部署VPC黑洞探针。详细信息，请参见使用限制。

配置项	说明
探针名称	设置探针的名称。
管理节点	选择探针部署的服务器对应的管理节点。即您步骤一中新建的管理节点。
部署VPC	选择部署探针的VPC。
配置服务	设置访问流量转发的蜜罐的名称和监听端口。

后续步骤

云蜜罐配置后，云蜜罐通过探针监测转移攻击者目标，让攻击者在蜜罐中攻击真实伪装应用，并会记录这些攻击的信息形成告警事件。您可以通过查看和处理告警事件，提升您的服务器和VPC的安全防御。具体操作，请参见查看和处理告警事件。

配置项	说明
模板名称	设置蜜罐模板的名称。
管理节点	选择部署云蜜罐的管理节点。即您步骤一中新建的管理节点。