引流蜜罐策略是能够根据设置的条件将黑客的攻击流量重定向到蜜罐的伪装服务中,从而扩大诱捕面,提升诱捕能力,使AF能够捕获更多的黑客攻击流量,保障内网业务安全,让防护更主动更简单。
点击<新增>,创建引流蜜罐策略,如下图所示。
名称:填写对应的策略名称。
状态:启用或禁用该策略。
优先级:可调整该引流策略优先级,放在其他引流策略之前或者之后。
应用场景标签:用来标记告警提示时是诱捕外网攻击还是诱捕内网扩散。
伪装服务地址:引用蜜罐策略中勾选的自定义服务中的伪装服务,当引流对象是匹配域名/URL访问规则或或安全防护策略时仅支持http和https协议类型的服务,同时不能引用服务模板中的服务。
伪装服务地址类型:根据伪装服务地址实际情况选择公网地址或者内网地址。
匹配指定源地址及目的地址:根据源地址和目的地址以及目的端口进行引流条件匹配,支持10个网络对象/IP(区间),目前只支持IPV4网络对象/IP地址(区间)目的端口手动填写,如果目的地址是真实服务器地址且目的端口也是真实服务端口,源地址不能设置为全部以免影响正常业务的使用。
匹配域名/URL访问规则:根据域名/URL进行引流条件匹配,支持三级目录,最大支持30个域名/URL,可设置为不存在的域名/URL或者不提供实际业务的页面。
匹配安全防护策略:根据安全防护策略进行引流条件匹配,当经过AF的流量被匹配的安全防护策略识别为攻击流量就会重定向到伪装服务页面,可以同时选择多个安全防护策略,最大支持10个。
:
引流蜜罐策略总数最多支持50个;
蜜罐策略引用服务模板的情况下无法在引流蜜罐策略中进行引用;
匹配指定IP引流在目的地址和目的端口为真实业务的情况下,源地址网络对象不能选择全部,否则会影响正常业务的访问:
单条策略支持部署多IP多网段多模板多服务部署,所以尽量在少量策略中集中部署,降低云端压力;
蜜罐URL匹配策略引流中,如果当前的url的规则没有匹配,引流无效果;
URL规则匹配不包含模糊匹配场景(例如url 填充差一个字符。例如:实际填写sanfor.com,目标sangfor.com);
蜜罐URL匹配策略引流中,其他安全防护策略优先执行,包括不限定:执行连接拒绝,或则联动封锁等;
当http请求报文还未发送完前,已经解析报文符合条件,发送重定向,浏览器无重定向引流效果;
引用的安全防护策略仅WEB应用防护模块有引流效果,安全防护策略未检测出攻击,则蜜罐匹配安全防护策略引流无效果。
配置案例
某企业有一个对外提供业务的WEB服务器,现购买了AF部署在服务器出口进行防护,现需要使用云蜜罐功能,并能够让蜜罐的作用最大化,实现转移黑客攻击并进行溯源的作用。网络环境为AF一台做网关部署,能够访问云端蜜罐并开通了云蜜罐授权,外网口IP为172.22.7.112,PC一台在AF外网区域,服务器一台在AF内网区域,提供HTTP服务,AF上已经做好了HTTP服务的端口映射并进行放通,同时也关联上了WAF的安全防护策略。
获取AF的对外出口IP:至少1个或多个(本例中为172.22.7.112),并把这个外网IP作为蜜罐IP。部署蜜罐之前,请确保蜜罐服务的端口不与真实业务端口冲突,如果出现冲突可以修改蜜罐服务的端口。
配置云蜜罐诱捕策略: [策略/安全策略/云蜜罐诱捕策略/蜜罐策略],选择<真实业务IP>,配置IP 172.22.7.112,选择服务类型和端口,建议选择有溯源能力的服务如<BBS>。
配置引流蜜罐策略: [策略/安全策略/云蜜罐诱捕策略/引流蜜罐策略],<引流目的地址>为上一步的伪装服务:172.22.7.112:86,<引流对象>中匹配指定源地址及目的地址设置引流目的和端口,匹配域名设置为与真实业务不冲突的URL地址,匹配安全防护策略勾选上相关的策略。
分别进行对应引流条件的验证。
建议使用Chrome浏览器访问!
