HFish/docs/2-1-env.md


### 主机资源要求

> 蜜罐对资源的要求根据攻击数量的区别差异很大，通常来说部署在内网的蜜罐，对性能的要求很低。
>
> 但接入公网的蜜罐对性能就会有更大的需求。

针对过往测试情况，我们给出两个配置。注意，如果您的蜜罐部署在互联网，会遭受到较大攻击流量，建议提升主机的配置。

```wiki
最低配置：控制端 1c2g100G、节点端 1c1g50G

建议配置：控制端 2c4g200G、节点端 1c2g50G

（日志磁盘占用，受攻击数量影响较大，我们建议控制端配置200G硬盘空间以上）
```

### 联网要求

> HFish控制端会主动访问如下网络域名

HFish支持IPv4和IPv6地址环境，可以在完全隔离互联网的内部网络工作，但为了最大限度感知真实威胁和对接云端接口消费威胁情报，以及接受自动化升级服务，微步在线强烈建议客户允许HFish控制端访问互联网，为兼顾安全性和服务可用性，推荐用户仅允许HFish控制端主动访问如下网络域名、地址和端口：

| 目的IP                                                   | 协议/端口 | 对应域名            | 访问目的                                         |
| ------------------------------------------------ ------- | --------- | ------------------- | ------------------------------------------------ |
| 103.210.21.74                                            | TCP/443   | hfish.io            | 用于官网升级功能，建议开启                       |
| 该域名使用CDN解析，建议在实际网络中解析后开放权限        | TCP/443   | hfish.cn-bj.ufileos.com   | 用于分发安装和升级包                          |
| 106.75.36.224  123.59.72.253  123.59.51.113  106.75.36.226  117.50.17.104 | TCP/443   | api.threatbook.cn   | 用于威胁情报查询，如果未启用该功能，无需开放     |
| 该域名使用CDN解析，建议在实际网络中解析后开放权限        | TCP/443   | open.feishu.cn      | 用于飞书告警功能，如果未使用该功能，无需开放     |
| 该域名使用CDN解析，建议在实际网络中解析后开放权限        | TCP/443   | oapi.dingtalk.com   | 用于钉钉告警功能，如果未使用该功能，无需开放     |
| 该域名使用CDN解析，建议在实际网络中解析后开放权限        | TCP/443   | qyapi.weixin.qq.com | 用于企业微信告警功能，如果未使用该功能，无需开放 |

 
注意：

1. HFish控制端仅需要通过NAT模式访问互联网，基于安全考虑，不建议用户将HFish控制端控制端口TCP/4433暴露在互联网；

2. 如果使用邮件通知，请开启相应邮件服务器的访问权限；

3. HFish支持 5 路syslog日志发送，便于与安全设备联动，请根据实际情况开放权限；


### 部署权限要求

> 控制端对root权限的需求

```wiki
1. 如果您使用的是官网推荐的install.sh脚本安装，安装目录被释放到opt目录下，过程需要root权限；

2. 如果您下载安装包手动安装，在默认使用SQLite数据库情况下，控制端的部署和使用不需要root权限，但如何替换SQLite改为MySQL数据，则MySQL安装和配置需要root权限；
```

> 节点端对root权限的需求

```wiki
节点端安装和运行无需root权限，但是由于操作系统限制，非root权限运行的节点无法监听低于tcp/1024的端口；
```


### 控制端安全要求

> 控制端应部署在安全区，只向少部分有网络管理权限和安全分析能力工作的人员和设备开放web和ssh端口

控制端用于配置管理的web页面开启了https，默认访问端口为tcp/4433，端口和登录URL，可以在config.ini中自行配置。

如果控制端主机的IP为192.168.11.11，那么应该在浏览器中输入如下的URL进行访问。

https://192.168.11.11:4433/web/


此外控制端还会开放另外两个端口，节点数据回传端口tcp/4434和SSH服务默认访问端口tcp/22。

强烈建议：

- **tcp/4433端口和tcp/22端口 “只能” 被安全区的管理设备访问**；
- **tcp/4434端口“必须能”被蜜罐节点访问**;


### 节点端安全要求

> 节点直接面对攻击者，建议遵循以下安全配置：

1. 如果用户同时有外网和内部需求，强烈建议用户分别在外网和内网部署完全独立的两套控制端和节点端；
2. 如果有节点需要能被外网访问，那么建议把节点和控制端部署在DMZ区；
3. 外网节点除了能访问控制端的tcp/4434端口外，不能有权限访问内网中的任何资产；
4. 内网节点除了开放蜜罐服务相应端口外，其它任何端口都不应该在网络中能被用户访问到。考虑安全区设备有维护节点主机的需求，可以向有限的设备开放ssh端口；
-												修改脚本地址

											
										
										
											2021-08-06 15:55:22 +08:00
-												增加了蜜饵章节，修改了环境要求章节

											
										
										
											2021-08-16 15:25:38 +08:00
+								### 主机资源要求
-												修改脚本地址

											
										
										
											2021-08-06 15:55:22 +08:00
-												增加了蜜饵章节，修改了环境要求章节

											
										
										
											2021-08-16 15:25:38 +08:00
+								> 蜜罐对资源的要求根据攻击数量的区别差异很大，通常来说部署在内网的蜜罐，对性能的要求很低。
 								>
 								> 但接入公网的蜜罐对性能就会有更大的需求。
-												修改脚本地址

											
										
										
											2021-08-06 15:55:22 +08:00
-												增加了蜜饵章节，修改了环境要求章节

											
										
										
											2021-08-16 15:25:38 +08:00
+								针对过往测试情况，我们给出两个配置。注意，如果您的蜜罐部署在互联网，会遭受到较大攻击流量，建议提升主机的配置。
-												修改脚本地址

											
										
										
											2021-08-06 15:55:22 +08:00
-												增加了蜜饵章节，修改了环境要求章节

											
										
										
											2021-08-16 15:25:38 +08:00
+								```wiki
 								最低配置：控制端 1c2g100G、节点端 1c1g50G
-												修改脚本地址

											
										
										
											2021-08-06 15:55:22 +08:00
-												增加了蜜饵章节，修改了环境要求章节

											
										
										
											2021-08-16 15:25:38 +08:00
+								建议配置：控制端 2c4g200G、节点端 1c2g50G
-												修改脚本地址

											
										
										
											2021-08-06 15:55:22 +08:00
-												增加了蜜饵章节，修改了环境要求章节

											
										
										
											2021-08-16 15:25:38 +08:00
+								（日志磁盘占用，受攻击数量影响较大，我们建议控制端配置200G硬盘空间以上）
 								```
-												修改脚本地址

											
										
										
											2021-08-06 15:55:22 +08:00
-												增加了蜜饵章节，修改了环境要求章节

											
										
										
											2021-08-16 15:25:38 +08:00
+								### 联网要求
-												修改脚本地址

											
										
										
											2021-08-06 15:55:22 +08:00
-												增加了蜜饵章节，修改了环境要求章节

											
										
										
											2021-08-16 15:25:38 +08:00
+								> HFish控制端会主动访问如下网络域名
-												修改脚本地址

											
										
										
											2021-08-06 15:55:22 +08:00
-												增加了蜜饵章节，修改了环境要求章节

											
										
										
											2021-08-16 15:25:38 +08:00
+								HFish支持IPv4和IPv6地址环境，可以在完全隔离互联网的内部网络工作，但为了最大限度感知真实威胁和对接云端接口消费威胁情报，以及接受自动化升级服务，微步在线强烈建议客户允许HFish控制端访问互联网，为兼顾安全性和服务可用性，推荐用户仅允许HFish控制端主动访问如下网络域名、地址和端口：
-												修改脚本地址

											
										
										
											2021-08-06 15:55:22 +08:00
-												增加了蜜饵章节，修改了环境要求章节

											
										
										
											2021-08-16 15:25:38 +08:00
+								| 目的IP                                                   | 协议/端口 | 对应域名            | 访问目的                                         |
 								| ------------------------------------------------ ------- | --------- | ------------------- | ------------------------------------------------ |
 								| 103.210.21.74                                            | TCP/443   | hfish.io            | 用于官网升级功能，建议开启                       |
 								| 该域名使用CDN解析，建议在实际网络中解析后开放权限        | TCP/443   | hfish.cn-bj.ufileos.com   | 用于分发安装和升级包                          |
-												修改脚本地址

											
										
										
											2021-08-06 15:55:22 +08:00
+								| 106.75.36.224  123.59.72.253  123.59.51.113  106.75.36.226  117.50.17.104 | TCP/443   | api.threatbook.cn   | 用于威胁情报查询，如果未启用该功能，无需开放     |
-												增加了蜜饵章节，修改了环境要求章节

											
										
										
											2021-08-16 15:25:38 +08:00
+								| 该域名使用CDN解析，建议在实际网络中解析后开放权限        | TCP/443   | open.feishu.cn      | 用于飞书告警功能，如果未使用该功能，无需开放     |
 								| 该域名使用CDN解析，建议在实际网络中解析后开放权限        | TCP/443   | oapi.dingtalk.com   | 用于钉钉告警功能，如果未使用该功能，无需开放     |
 								| 该域名使用CDN解析，建议在实际网络中解析后开放权限        | TCP/443   | qyapi.weixin.qq.com | 用于企业微信告警功能，如果未使用该功能，无需开放 |
-												修改脚本地址

											
										
										
											2021-08-06 15:55:22 +08:00
-												增加了蜜饵章节，修改了环境要求章节

											
										
										
											2021-08-16 15:25:38 +08:00
+								注意：
-												修改脚本地址

											
										
										
											2021-08-06 15:55:22 +08:00
-												增加了蜜饵章节，修改了环境要求章节

											
										
										
											2021-08-16 15:25:38 +08:00
+. HFish控制端仅需要通过NAT模式访问互联网，基于安全考虑，不建议用户将HFish控制端控制端口TCP/4433暴露在互联网；
-												修改脚本地址

											
										
										
											2021-08-06 15:55:22 +08:00
-												增加了蜜饵章节，修改了环境要求章节

											
										
										
											2021-08-16 15:25:38 +08:00
+. 如果使用邮件通知，请开启相应邮件服务器的访问权限；
-												修改脚本地址

											
										
										
											2021-08-06 15:55:22 +08:00
-												增加了蜜饵章节，修改了环境要求章节

											
										
										
											2021-08-16 15:25:38 +08:00
+. HFish支持 5 路syslog日志发送，便于与安全设备联动，请根据实际情况开放权限；
-												修改脚本地址

											
										
										
											2021-08-06 15:55:22 +08:00
-												增加了蜜饵章节，修改了环境要求章节

											
										
										
											2021-08-16 15:25:38 +08:00
+								### 部署权限要求
-												修改脚本地址

											
										
										
											2021-08-06 15:55:22 +08:00
-												增加了蜜饵章节，修改了环境要求章节

											
										
										
											2021-08-16 15:25:38 +08:00
+								> 控制端对root权限的需求
-												修改脚本地址

											
										
										
											2021-08-06 15:55:22 +08:00
-												增加了蜜饵章节，修改了环境要求章节

											
										
										
											2021-08-16 15:25:38 +08:00
+								```wiki
 . 如果您使用的是官网推荐的install.sh脚本安装，安装目录被释放到opt目录下，过程需要root权限；
-												修改脚本地址

											
										
										
											2021-08-06 15:55:22 +08:00
-												增加了蜜饵章节，修改了环境要求章节

											
										
										
											2021-08-16 15:25:38 +08:00
+. 如果您下载安装包手动安装，在默认使用SQLite数据库情况下，控制端的部署和使用不需要root权限，但如何替换SQLite改为MySQL数据，则MySQL安装和配置需要root权限；
 								```
-												修改脚本地址

											
										
										
											2021-08-06 15:55:22 +08:00
-												增加了蜜饵章节，修改了环境要求章节

											
										
										
											2021-08-16 15:25:38 +08:00
+								> 节点端对root权限的需求
-												修改脚本地址

											
										
										
											2021-08-06 15:55:22 +08:00
 								```wiki
-												增加了蜜饵章节，修改了环境要求章节

											
										
										
											2021-08-16 15:25:38 +08:00
+								节点端安装和运行无需root权限，但是由于操作系统限制，非root权限运行的节点无法监听低于tcp/1024的端口；
 								```
-												修改脚本地址

											
										
										
											2021-08-06 15:55:22 +08:00
-												增加了蜜饵章节，修改了环境要求章节

											
										
										
											2021-08-16 15:25:38 +08:00
+								### 控制端安全要求
-												修改脚本地址

											
										
										
											2021-08-06 15:55:22 +08:00
-												增加了蜜饵章节，修改了环境要求章节

											
										
										
											2021-08-16 15:25:38 +08:00
+								> 控制端应部署在安全区，只向少部分有网络管理权限和安全分析能力工作的人员和设备开放web和ssh端口
-												修改脚本地址

											
										
										
											2021-08-06 15:55:22 +08:00
-												增加了蜜饵章节，修改了环境要求章节

											
										
										
											2021-08-16 15:25:38 +08:00
+								控制端用于配置管理的web页面开启了https，默认访问端口为tcp/4433，端口和登录URL，可以在config.ini中自行配置。
-												修改脚本地址

											
										
										
											2021-08-06 15:55:22 +08:00
-												增加了蜜饵章节，修改了环境要求章节

											
										
										
											2021-08-16 15:25:38 +08:00
+								如果控制端主机的IP为192.168.11.11，那么应该在浏览器中输入如下的URL进行访问。
-												修改脚本地址

											
										
										
											2021-08-06 15:55:22 +08:00
-												增加了蜜饵章节，修改了环境要求章节

											
										
										
											2021-08-16 15:25:38 +08:00
+								https://192.168.11.11:4433/web/
-												修改脚本地址

											
										
										
											2021-08-06 15:55:22 +08:00
-												增加了蜜饵章节，修改了环境要求章节

											
										
										
											2021-08-16 15:25:38 +08:00
+								此外控制端还会开放另外两个端口，节点数据回传端口tcp/4434和SSH服务默认访问端口tcp/22。
-												修改脚本地址

											
										
										
											2021-08-06 15:55:22 +08:00
-												增加了蜜饵章节，修改了环境要求章节

											
										
										
											2021-08-16 15:25:38 +08:00
+								强烈建议：
-												修改脚本地址

											
										
										
											2021-08-06 15:55:22 +08:00
-												增加了蜜饵章节，修改了环境要求章节

											
										
										
											2021-08-16 15:25:38 +08:00
+								- **tcp/4433端口和tcp/22端口 “只能” 被安全区的管理设备访问**；
 								- **tcp/4434端口“必须能”被蜜罐节点访问**;
-												修改脚本地址

											
										
										
											2021-08-06 15:55:22 +08:00
-												增加了蜜饵章节，修改了环境要求章节

											
										
										
											2021-08-16 15:25:38 +08:00
+								### 节点端安全要求
-												修改脚本地址

											
										
										
											2021-08-06 15:55:22 +08:00
-												增加了蜜饵章节，修改了环境要求章节

											
										
										
											2021-08-16 15:25:38 +08:00
+								> 节点直接面对攻击者，建议遵循以下安全配置：
-												修改脚本地址

											
										
										
											2021-08-06 15:55:22 +08:00
-												增加了蜜饵章节，修改了环境要求章节

											
										
										
											2021-08-16 15:25:38 +08:00
+. 如果用户同时有外网和内部需求，强烈建议用户分别在外网和内网部署完全独立的两套控制端和节点端；
 . 如果有节点需要能被外网访问，那么建议把节点和控制端部署在DMZ区；
 . 外网节点除了能访问控制端的tcp/4434端口外，不能有权限访问内网中的任何资产；
 . 内网节点除了开放蜜罐服务相应端口外，其它任何端口都不应该在网络中能被用户访问到。考虑安全区设备有维护节点主机的需求，可以向有限的设备开放ssh端口；