### HFish的网络环境 > Server端应部署在安全区,只向少部分有网络管理权限和安全分析能力工作的人员和设备开放web和ssh端口 服务端用于配置管理的web页面开启了https,默认访问端口为4433,默认页面在web目录下。(端口和目录,可以在config.ini中自行配置)。 ```url # 举个例子如果您Server端的ip为192.168.11.11,那么您应该在浏览器中输入如下的URL进行访问。 https://192.168.11.11:4433/web/ ``` 此外服务端还会开放另外两个端口,节点数据回传端口默认为4434,SSH服务默认访问端口为22。 **4433端口和22端口,“只能”被安全区的管理设备访问。4434端口,“必须能”被蜜罐节点访问。** > HFish服务端会主动访问如下网络域名 HFish支持IPv4和IPv6地址环境,可以在完全隔离互联网的内部网络工作,但为了最大限度感知真实威胁和对接云端接口消费威胁情报,以及接受自动化升级服务,微步在线强烈建议客户允许HFish服务端访问互联网,为兼顾安全性和服务可用性,推荐用户仅允许HFish服务端主动访问如下网络域名、地址和端口: | 目的IP | 协议/端口 | 对应域名 | 访问目的 | | ------------------------------------------------------------ | --------- | ------------------- | ------------------------------------------------ | | 103.210.21.74 | TCP/443 | hfish.io | 用于官网升级功能,建议开启 | | 106.75.36.224 123.59.72.253 123.59.51.113 106.75.36.226 117.50.17.104 | TCP/443 | api.threatbook.cn | 用于威胁情报查询,如果未启用该功能,无需开放 | | 该域名使用CDN解析,建议用户在实际网络中解析后开放权限 | TCP/443 | open.feishu.cn | 用于飞书告警功能,如果未使用该功能,无需开放 | | 该域名使用CDN解析,建议用户在实际网络中解析后开放权限 | TCP/443 | oapi.dingtalk.com | 用于钉钉告警功能,如果未使用该功能,无需开放 | | 该域名使用CDN解析,建议用户在实际网络中解析后开放权限 | TCP/443 | qyapi.weixin.qq.com | 用于企业微信告警功能,如果未使用该功能,无需开放 | 注意:HFish服务端仅需要通过NAT模式访问互联网,基于安全考虑,微步在线不建议用户将HFish服务端管理接口暴露在互联网。 1. 如果使用邮件通知,请开启相应邮件服务器的访问权限。 2. 与此同时我们还支持 5 路syslog日志的发送,便于您的安全设备联动。请根据自己的情况开放权限。 ### Server端的资源要求 > 蜜罐对资源的要求根据攻击数量的区别差异很大,通常来说部署在内网的蜜罐,对性能的要求很低。 > > 但接入公网的蜜罐对性能就会有更大的需求。 针对我们过往的测试的情况,我们给出两个配置,一个最低配置,一个是我们的推进配置。如果您的蜜罐打算接到公网,并有比较大的攻击流量,请跟进资源占用情况,提升主机的配置。 ```wiki 最低配置:Server端 1c2g100G、节点1c1g50G 建议配置:Server端 2c4g200G、节点1c2g50G 日志磁盘占用,受攻击数量影响较大,我们建议Server端配置200G硬盘空间以上。 ``` ### Server端的权限审核 > 对root权限的需求 ```wiki 直接部署安装方式服务端的过程中,对于Mysql数据的安装和配置需要root权限。Server端的部署和使用不需要root权限。 ``` ### 节点的安全配置 > 节点因为是直接面对攻击者的,安全配置是节点安全的重要保障 1. 外网节点和内网节点不能共用 2. 如果有节点需要能被外网访问,那么建议把节点和服务端部署在DMZ区。 3. 外网节点除了能访问Server端的4434(默认)端口外,不能有权限访问内网中的任何资产。 4. 内网节点除了开放蜜罐服务相应端口外,其它任何端口都不应该在网络中能被用户访问到。考虑安全区设备有维护节点主机的需求,可以向有限的设备开放ssh端口。