增加来了1-*系列中的标题，修改了2-*目录结构

docs/1-1-honeypot.md

@@ -10,13 +10,13 @@
    
   蜜罐作为正常业务的 "**影子**" 混淆在网络中，正常情况下不应被触碰，每次触碰都可以视为威胁行为。
   
-  例如，在其它检测型产品中，将正常请求误判为攻击行为的误报很常见，而对于蜜罐来说，几乎不存在正常请求，即使有也是探测行为。
+  例如，在其它检测型产品中，将正常请求误判为攻击行为的误报很常见，而对于蜜罐来说，几乎 **不存在正常请求**，即使有也是探测行为。
 
   > **检测深入，信息丰富**
   
   不同于其它检测型安全产品，蜜罐可以 **模拟业务服务甚至对攻击的响应**，完整获取整个交互的所有内容，最大深度的获得攻击者探测行为之后的N个步骤，可检测点更多，信息量更大。
   
-  例如，对于SSL加密或工控环境，蜜罐可以轻松伪装成业务，得到完整攻击数据。
+  例如，对于 **SSL加密** 或 **工控环境**，蜜罐可以轻松伪装成业务，得到完整攻击数据。
   
   
   > **主动防御，预见未来，生产情报**

docs/1-2-spec.md

@@ -1,9 +1,12 @@
+
+  > HFish当前具备如下几个特点：
+
 - 安全可靠：主打低中交互蜜罐，简单有效；
 
 - 蜜罐丰富：支持SSH、FTP、TFTP、MySQL、Redis、Telnet、VNC、Memcache、Elasticsearch、Wordpress、OA系统等10多种蜜罐服务，支持用户制作自定义Web蜜罐；
+
 - 开放透明：支持对接微步在线X社区API、五路syslog输出、支持邮件、钉钉、企业微信、飞书、自定义WebHook告警输出；
+
 - 快捷管理：支持单个安装包批量部署，支持批量修改端口和服务；
+
 - 跨平台：支持Linux x32/x64/ARM、Windows x32/x64平台
-
-
-

docs/1-3-workflow.md

@@ -1,7 +1,14 @@
-HFish由控制端和节点端组成，控制端用来生成和管理节点端，并接收、分析和展示节点端回传的数据，节点端接受控制端的控制并负责构建蜜罐服务。
+
+> HFish基本结构
+
+HFish由控制端（server）和节点端（client）组成，控制端用来生成和管理节点端，并接收、分析和展示节点端回传的数据，节点端接受控制端的控制并负责构建蜜罐服务。
+
+
+> HFish各模块关系图
 
 ![image-20210611130621311](http://img.threatbook.cn/hfish/20210616174908.png)
 
+
 > 融合在企业网络中
 
 ![image-20210611130733084](http://img.threatbook.cn/hfish/20210616174930.png)

docs/_sidebar.md

@@ -5,10 +5,10 @@
   - [应用场景](1-4-scene)
 - 快速开始
   - [环境要求](2-1-env)
-  - [Linux](2-2-linux)
-  - [Windows](2-3-windows)
-  - [Docker](2-1-docker)
-  - [数据库相关](2-4-mariadb)
+  - [Linux](2-3-linux)
+  - [Windows](2-4-windows)
+  - [Docker](2-2-docker)
+  - [数据库相关](2-5-mariadb)
 - 环境管理
   - [添加服务](3-2-services)
   - [创建模板](3-3-tmpl)