更新时间:2024-11-15 GMT+08:00

创建动态端口蜜罐防护策略

操作场景

动态端口蜜罐功能是以真实端口作为诱饵端口诱导攻击者访问,因此开启动态端口蜜罐防护时,用户需要创建防护策略以添加服务器端口作为蜜罐端口并绑定服务器开启防护。

本章节介绍如何创建动态端口蜜罐防护策略。

约束与限制

  • 一台服务器最多支持添加10个蜜罐端口。
  • 一个蜜罐端口只能绑定一个协议,支持TCP和TCP6协议。

创建动态端口蜜罐防护策略

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
  3. 选择主机防御 > 动态端口蜜罐,进入“动态端口蜜罐”界面。
  4. (可选)如果您已开通企业项目,可在界面上方的“企业项目”下拉列表中选择目标主机所在的企业项目。
  5. “防护配置”页签,单击“创建防护策略”,弹出“创建防护策略”对话框。
  6. 根据界面提示,创建防护策略。

    1. 配置策略,配置完成后单击“下一步”。相关参数说明请参见表 创建动态端口蜜罐防护策略参数说明
      表1 创建动态端口蜜罐防护策略参数说明

      参数名称

      参数说明

      策略名称

      可保持默认名称,您也可以自定义输入一个易识别的名称。

      操作系统类型

      选择要添加动态端口蜜罐功能的服务器操作系统类型。

      防护端口

      选择实现动态端口蜜罐功能的服务器端口。

      • 推荐端口:企业主机安全提供的交叉端口推荐,Linux系统推荐使用Windows常用端口,Windows系统推荐使用Linux常用端口,供您参考。
      • 自定义端口:您可根据自身需求添加自定义端口或者删除一些推荐端口。
      说明:

      请您确定添加的防护端口未被其他服务占用,如果端口被占用会导致动态端口蜜罐功能开启失败。

      源IP白名单(可选)

      动态端口蜜罐功能默认主动连接蜜罐端口的主机都是内网失陷主机,一旦检测到可疑的连接行为将会上报告警。

      因此如果有您信任的主机会产生连接蜜罐端口的行为,建议您将该主机的IP加到源IP白名单。

    2. 勾选绑定目标服务器,单击“保存并启用”,创建防护策略完成。
      需要注意的是,满足以下所有条件的服务器,才支持勾选配置动态端口蜜罐。
      • 服务器已开启旗舰版及以上版本主机安全防护。
      • 服务器Agent在线,且Windows Agent版本≥4.0.22,Linux Agent版本≥3.2.10。
      • 服务器未绑定动态端口蜜罐防护策略。
      • 服务器操作系统类型符合6.a选择的类型。
      • 服务器未绑定EIP。

  7. 在创建好的目标策略所在行的“关联服务器”列,单击数值,弹出“关联服务器”对话框。

    图1 关联服务器

  8. 在关联服务器所在行的“端口启用情况”列,查看服务器端口启用情况。

    端口启用失败后系统不会重新尝试启用端口,如果需要重新尝试启用端口,请通过“编辑策略”操作先去勾选服务器并保存,再通过“编辑策略”操作重新勾选绑定该服务器。编辑策略详细操作请参见编辑策略

常见问题

端口启用失败怎么办?

  • 可能原因一:端口被其他服务占用

    解决办法:通过“编辑策略”操作,添加其他空闲的端口。

  • 可能原因二:系统资源不足

    解决办法:清理部分系统资源后,请通过“编辑策略”操作先去勾选服务器并保存,再通过“编辑策略”操作重新勾选绑定该服务器。编辑策略详细操作请参见编辑策略