主动诱导攻击者攻击“假”目标，延长对抗时间，保护真实资产安全。捕获到攻击IP后进行自动封锁，进而防止攻击者对内外网进行扫描等攻击行为。通过云端蜜罐深度溯源指纹信息、社交信息、位置信息等数据，精准勾勒攻击者画像，从攻击源头切断攻击。当检测到内部主机对不该访问的伪装业务发起恶意扫描，即可快速定位内网失陷主机，自动封锁，防止横向扩散感染核心业务。如下图所示。

点击<新增>，创建蜜罐策略，如下图所示。

策略名称：填写对应的策略名称。

描述：填写对应的描述信息。

状态：启用或禁用该策略。

应用场景标签：用来标记告警提示时是诱捕外网攻击还是诱捕内网扩散。

云端分析能力：开启云端高级捕获与分析技术，可以获取攻击方的指纹信息、工具、手法、攻击轨迹等，汇总形成攻击者画像，有效溯源分析攻击者行为。开启后可在配置伪装服务时选择云端伪装服务类型。开启该功能需要设备能够连接网络且开通相应的授权。

：

连接到云端获取更多的伪装服务，目前有SSH、RDP、SMB、VNC等，本地值提供tcp连接功能，并记录访问日志，不支持应用层服务。

配置伪装服务

IP类型：选择是伪装IP还是真实业务IP。

伪装IP：伪装出来的IP，实际业务中不存在，且AF无法ping通该IP，则AF会模拟ARP响应报文回给攻击端，使攻击端感知到该业务的存在。

真实业务IP：真实存在的IP，AF能够ping通该IP，则AF收到该IP响应的ARP包，才会回包给攻击端，使攻击端感知到该业务的存在。

IP/IP段：根据需求填写IP/IP段；

伪装服务区类型：如果勾选云端能力分析，则可以选择多个伪装服务，否则只能选择本地HTTP伪装服务。选择后，可以点击<编辑>，对端口进行修改。

：

联动处置

自动联动封锁：启用或者禁用联动封锁功能，对诱捕到的恶意行为进行联动封锁。

联动对象：对所有访问伪装服务的源IP进行封锁或者有恶意攻击行为的源IP进行封锁。

封锁时长：联动封锁的时长，最长15天。

配置案例

某企业的内网业务系统，对外提供业务服务，经常遭受到互联网的攻击扫描，因此，业务系统一旦被攻陷，将带来巨大的损失。所以，需要诱捕的方式找到真实的攻击者，从而对黑客IP进行更加准确的封禁。客户对外的真实业务为192.200.244.195:80，需要伪装服务192.200.244.195:8080和192.200.244.195:81。当存在访问伪装业务的IP时，对其进行自动封锁。

步骤1.点击<新增>，创建蜜罐策略，如下图所示。

步骤2.点击<确定>，完成配置。

步骤3.访问蜜罐页面，查看告警结果，如下图所示。