暴露探针是在用户业务系统中部署的“陷阱”,可以是 IP 或域名,能将指定端口/路径的流量转发到指定的蜜罐服务中,从而记录攻击者信息并追溯攻击手法,因此网络蜜罐服务需要和暴露探针关联后才能正常运行。
用户在进入网络蜜罐控制台时会默认进入探针暴露页面。建议用户先新建探针,而后新建蜜罐并与相应探针关联。
1. 登录 云防火墙控制台,在左侧导航栏中,单击网络蜜罐 > 探针暴露。
2. 在探针暴露页面,单击新建探针。
3. 在新建探针暴露弹窗中,选择地域,实例名称、部署模式以及弹性 IP,单击下一步。
参数 | 说明 |
地域 | 支持国内所有地域(金融专区暂不支持),创建实例后不可更改。 |
实例名称 | 自定义实例名。 |
部署模式 | 内网 IP︰选择一个子网,我们会自动新建一个弹性网卡与内网 IP,这个 IP 的指定端口可以设置转发到蜜罐服务中。 公网 IP︰选择现有的一个公网 IP 部署探针,该 IP上的指定端口的流量将会转发到蜜罐服务中。 负载均衡∶选择现有的一个负载均衡实例部署探针,指定域名上的路径的流量将会转发到蜜罐服务中。 |
选择子网 | 当部署模式为内网 IP 时,需配置该内容。 |
IP 地址 | 当部署模式为内网 IP 时,需配置该内容。 |
弹性 IP | 当部署模式为公网 IP 时,需配置该内容。选择新建弹性 IP。 |
部署实例 | 当部署模式为负载均衡时,需配置该内容。根据实际需求配置。 |
域名 | 当部署模式为负载均衡时,需配置该内容。根据实际需求配置。 |
转发器 | 当部署模式为负载均衡时,需配置该内容。请在当前负载均衡实例所属的私有网络中选择一个云服务器实例作为当前监听器的后端服务,仅支持 Linux 系统的云服务器。 |
转发蜜罐服务 | 支持快速新建蜜罐、从现有蜜罐中选择或暂不设置。 |
4. 设置转发蜜罐服务,单击确定,即可完成新建。
快速新建蜜罐:单击快速新建蜜罐,勾选所需蜜罐服务即可,可多选。
说明:
由于 WEB 蜜罐需要将现有的 SSH/MySQL 蜜罐作为诱饵,因此 WEB 蜜罐在快速选择后不会自动关联诱饵。当用户在新建探针时单击快速选择蜜罐并选择 WEB 蜜罐时,蜜罐服务并未开始工作。用户需要到蜜罐服务中找到相应的 WEB 蜜罐编辑并关联相应的 SSH/MySQL 蜜罐后,该蜜罐服务开始工作。
从现有蜜罐中选择:单击从现有蜜罐中选择,选择所需蜜罐服务,可多选,并根据需求可修改监听端口或输入路径。
说明:
当部署模式为公网 IP 时,可修改监听端口。
当部署模式为负载均衡时,部分蜜罐可支持自定义路径,详情以控制台为准。
5. 支持单个或批量开启探针。
单个:选择目标探针,单击开关列的
,在“确认开启”弹窗中,单击确定,即可开启单个探针。
批量:选中一个或多个探针,单击开启探针,在“确认开启”弹窗中,单击确定,开启多个探针。