下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.95
{{sendMatomoQuery("下一代防火墙AF","蜜罐策略")}}

蜜罐策略

更新时间:2024-09-04

点击<新增>,创建蜜罐策略策略,如下图所示。

策略名称:填写对应的策略名称。

描述:填写对应的描述信息。

状态:启用或禁用该策略。

应用场景标签:用来标记告警提示时是诱捕外网攻击还是诱捕内网扩散。

云端分析能力:开启云端高级捕获与分析技术,可以获取攻击方的指纹信息、工具、手法、攻击轨迹等,汇总形成攻击者画像,有效溯源分析攻击者行为。开启后可在配置伪装服务时选择云端伪装服务类型。开启该功能需要设备能够连接网络且开通相应的授权。

连接到云端获取更多的伪装服务,目前有SSH、RDP、SMB、VNC等,本地值提供tcp连接功能,并记录访问日志,不支持应用层服务。

配置伪装服务

IP类型:选择是伪装IP还是真实业务IP。

伪装IP:伪装出来的IP,实际业务中不存在,且AF无法ping通该IP,则AF会模拟ARP响应报文回给攻击端,使攻击端感知到该业务的存在。

真实业务IP:真实存在的IP,AF能够ping通该IP,则AF收到该IP响应的ARP包,才会回包给攻击端,使攻击端感知到该业务的存在。

IP/IP段:根据需求填写IP/IP段;

伪装服务区类型:如果勾选云端能力分析,则可以选择多个服务模板或自定义服务。选择后,可以对端口进行修改,如没有勾选云端能力分析则只能在设备上开通对应的端口,无法使用具体的蜜罐服务。

  1. 尽量配置与真实业务的IP和端口,以增大诱捕率,但不要和真实业务重合,否则将影响正常业务的访问;

  2. 单个策略的伪装服务之和最大支持50个;

  3. 为使本云蜜罐联动功能生效,AF设备部署时必须同时保证:

(1)访问者能与AF设备成功建立TCP连接,否则流量无法进入AF,云蜜罐诱捕功能失效;

(2)AF设备与外网连通,否则流量无法发送至云端,云蜜罐服务失效;

  1. 在线伪装服务相比本地伪装服务,由于其能够真实访问,因此获取到的黑客信息更为丰富,业务针对性强,建议用户配置在线伪装服务;

  2. 云蜜罐诱捕策略只支持路由、透明模式部署、虚拟网线部署;

  3. AF与攻击者只进行三次握手,如果是本地伪装服务,则三次握手后的数据包将进行丢弃,不进行解包分析;如果是在线伪装服务,则三次握手后的数据包直接转发到云端分析。

联动处置

自动联动封锁:启用或者禁用联动封锁功能,对诱捕到的恶意行为进行联动封锁。

联动对象:对所有访问伪装服务的源IP进行封锁或者有恶意攻击行为的源IP进行封锁。

封锁时长:联动封锁的时长,最长15天。

配置案例

某企业的内网业务系统,对外提供业务服务,经常遭受到互联网的攻击扫描,因此,业务系统一旦被攻陷,将带来巨大的损失。所以,需要诱捕的方式找到真实的攻击者,从而对黑客IP进行更加准确的封禁。客户对外的真实业务为192.200.244.195:80,需要伪装服务192.200.244.195:8080和192.200.244.195:81。当存在访问伪装业务的IP时,对其进行自动封锁。

  1. 点击<新增>,创建蜜罐策略,如下图所示。

  1. 点击<确定>,完成配置。

  1. 访问蜜罐页面,查看告警结果,如下图所示。