全息诱捕

• 欺骗防御技术的基本思路是干扰攻击者，让其对攻击产生错误感知，对攻击者的攻击行为产生不利影响，增加攻击成本的同时降低收益，以减少其行为的安全风险。

• 欺骗防御者会制定一个误导环境来欺骗攻击者，将攻击者的活动目标从真实的资产转移到虚假的资产上，以便防守者发现攻击者，并延缓其攻击真实资产的进程。

拦截列表

通过本功能可以查看被诱捕并阻断的来源IP地址

【删除】:通过该按钮将来源IP从阻断列表中删除，使其访问流量允许经过FreeVM。

主机列表

通过本功能列出在网络中存在的虚拟主机和真实主机。

低交互蜜罐

攻击概览

如果攻击者踩到了低交互蜜罐，在攻击概览中可以查看。

点击【查看详情】可以看到具体攻击情况。

诱捕端口

诱捕端口指低交互蜜罐开放的端口，可以自行添加，如139，445端口等。

添加完端口后，点击【提交】为应用配置。

高交互蜜罐

攻击概览

如果攻击者踩到了高交互蜜罐，在攻击概览中可以查看。
可以查看攻击者的IP，攻击的时间、结束的时间、攻击的次数，以及通过什么陷阱捕获到的。

点击【查看详情】可以把攻击者的攻击行为通过时间链的形式展示出来。

蜜场分布

详细了解蜜罐的分布情况。

权重设置

• 蜜罐开放的应用或服务类型，点击框中内容可以剔除此蜜罐的此服务或应用。
  

• 通过拖动此进度条 ，设置蜜罐生成种类的权重。
  

数字孪生

孪生主机

选择【添加主机】从中选择资产梳理出来的IP，并在资产下的IP中选择需要克隆的主机。

选择需要克隆的主机后，点击【克隆完整主机】即可开始克隆。

孪生应用

可以查看克隆的web页面。

点击【手动添加】输入要克隆的WEB页面。

克隆任务时间会受原页面的大小影响

地址池配置

诱捕网段

功能可以在对生成的虚拟陷阱主机进行VLAN划分和地址分配。

• 注：该步骤需在诱捕配置开关开启前配置完毕。

【添加诱捕地址池】:添加并配置需要开启诱捕配置的VLAN与虚拟陷阱主机的IP段，如下图所示：

• 【VLAN】:选择需要生成陷阱主机的VLAN，数字编号代表VLAN号，如vs1代表VLAN 1。
• 【IP】:配置批量生成的虚拟陷阱主机的地址池，用于分配给生成的虚拟陷阱主机。生成的陷阱主机默认开放的端口有：139、445。格式为:IP-IP，地址需要和该内网VLAN的地址段一致。
• 【子网掩码】:虚拟陷阱主机群的子网掩码与真是网络中的网段掩码保持一致。
• 【数量】:配置需要批量生成的虚拟陷阱主机的数量。
• 【状态】:配置该诱捕池是否启用。

白名单

点击【添加】添加全息诱捕的白名单IP。

诱捕配置

通过本功能可以在内网多VLAN环境中生成大量的内网虚拟陷阱主机。
注意：

• 1、生成虚拟陷阱主机时，需要关闭流量学习。
• 2、如有新的真实主机需要加入到当前网络，务必关闭“全息诱捕”功能，以免造成IP冲突，待新的真实主机加入完毕后，再开启该功能。

• 【功能开关】:开启或关闭全息诱捕功能。选择【开启】后下方参数配置才会起效。
• 【阻断阀值】:当陷阱主机开放的端口被累计访问设定的次数后，极元安全防御系统 V2.1会对来源IP地址进行阻断，阻止其访问真实主机（接入层部署）。
• 【提交】:配置完上述参数后，选择【提交】按钮，保存并应用参数配置。
• 【重置】:将上述参数返回到出厂默认值。

注：如果对全息诱捕的设置进行了更改，需要重新提交【引擎状态】中的【全息诱捕】引擎