如何构建蜜网

您是否准备好超越平常的抵御入侵者的方法，掌握更多的主动权？不用再坐等入侵者进犯，现在你可以利用伪装服务器或者伪装网络引诱（有些情况下甚至是捕获）入侵者，我 们称之为蜜罐（honeypot）或蜜网（honeynet）。

入侵检测和入侵防护是IT安全规划的重要目标，最好的入侵检测/防护策略会结合使用多种方法。以前我曾经谈到过如何选择能与业务一同发展的IDS/IPS工具或者软件产品。这里 将介绍一种相应的防御入侵者企破坏网络安全的方法。某些组织机构采用更为主动的方法，即设置“蜜罐”——一台伪装成实际的生产用设备的服务器，而它的实际用途只是要吸 引黑客。甚至有时整个网络都由这样的设备组成(经常是在某台服务器上运行的多个虚拟服务器)。下面介绍如何在您的入侵检测和入侵防护策略中加入蜜罐或蜜网，以及它们如何 成为网络中“真实”的一部分。

蜜网工作方式
蜜罐或蜜网是网上“针刺” 操作的基础：它能够诱敌深入，不用冒着暴露生产网络的风险就可以追踪入侵者的行为。这一方法目前是如此流行，以至于有了自己的博客网站：honeyblog。

虽然蜜罐电脑看似网络的一部分，但实际上与网络隔绝并有所保护，因此闯入蜜罐电脑的入侵者无法触及网络的其他部分。蜜罐的诱惑力源自其上所储存的资源，这些资源看起来 很象敏感或者保密的文件，能够提起黑客的兴趣。蜜罐处于严密监视下，入侵者很早就会被侦测出来，并能追查到黑客的源头。

蜜罐还有一个次要的作用就是转移入侵者的注意力，从而保护生产网络。

实施蜜罐或蜜网
一旦您决定在入侵检测/入侵防护策略上加点“蜜”，你就需要确定以下问题：