前言：

什么是蜜罐？

是一个包含漏洞的系统，它摸拟一个或多个易受攻击的主机，给黑客提供一个容易攻击的目标。由于蜜罐没有其它任务需要完成，因此所有连接的尝试都应被视为是可疑的。蜜罐的另一个用途是拖延攻击者对其真正目标的攻击，让攻击者在蜜罐上浪费时间。蜜罐类产品包括蜜网、蜜系统、蜜账号等等。

防守篇

3.2.1 软硬件

3.2.1.1 加密机

主机加密设备，加密机和主机之间使用 TCP/IP 协议通信，所以加密机对主机的类型和主机操作系统无任何特殊的要求。

3.2.1.2 CA 证书

为实现双方安全通信提供了电子认证。

在因特网、公司内部网或外部网中，使用数字证书实现身份识别和电子信息加密。

数字证书中含有密钥对（公钥和私钥）所有者的识别信息，通过验证识别信息的真伪实现对证书持有者身份的认证。

3.2.1.3 SSL 证书

SSL 证书是数字证书的一种，类似于驾驶证、护照和营业执照的电子副本。

因为配置在服务器上，也称为 SSL 服务器证书。

3.2.1.4 防火墙

主要部署于不同网络或网络安全域之间的出口，通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，有选择地接受外部访问。

3.2.1.5 IDS 

入侵检测系统，用于在黑客发起进攻或是发起进攻之前检测到攻击，并加以拦截。

IDS 是不同于防火墙。防火墙只能屏蔽入侵，而 IDS 却可以在入侵发生以前，通过一些信息来检测到即将发生的攻击或是入侵并作出反应。

3.2.1.6 NIDS 

是 Network Intrusion Detection System 的缩写，即网络入侵检测系统，主要用于检测Hacker或Cracker 。

通过网络进行的入侵行为。NIDS 的运行方式有两种，一种是在目标主机上运行以监测其本身的通信信息，另一种是在一台单独的机器上运行以监测所有网络设备的通信信息，比如Hub、路由器（编注：一般集线器（Hub）、路由器没有 NIDS 功能）。

3.2.1.7 IPS 

全称为 Intrusion-Prevention System，即入侵防御系统，目的在于及时识别攻击程序或有害代码及其克隆和变种，采取预防措施，先期阻止入侵，防患于未然。

或者至少使其危害性充分降低。入侵预防系统一般作为防火墙和防病毒软件的补充来投入使用。

3.2.1.8 杀毒软件

也称反病毒软件或防毒软件，是用于消除电脑病毒、特洛伊木马和恶意软件等计算机威胁的一类软件。

3.2.1.9 反病毒引擎

通俗理解，就是一套判断特定程序行为是否为病毒程序（包括可疑的）的技术机制。

例如奇安信自主研发的 QOWL 猫头鹰反病毒引擎。

3.2.1.10 防毒墙

区别于部署在主机上的杀毒软件，防毒墙的部署方式与防火墙类似，主要部署于网络出口，用于对病毒进行扫描和拦截，因此防毒墙也被称为反病毒网关。

3.2.1.11 老三样

通常指 IDS、防火墙和反病毒三样历史最悠久安全产品。

3.2.1.12 告警

指网络安全设备对攻击行为产生的警报。

3.2.1.13 误报

也称为无效告警，通常指告警错误，即把合法行为判断成非法行为而产生了告警。

目前，由于攻击技术的快速进步和检测技术的限制，误报的数量非常大，使得安全人员

不得不花费大量时间来处理此类告警，已经成为困扰并拉低日常安全处置效率的主要原因。

3.2.1.14 漏报

通常指网络安全设备没有检测出非法行为而没有产生告警。一旦出现漏报，将大幅增加系统被入侵的风险。

3.2.1.15 NAC 

全称为 Network Access Control，即网络准入控制，其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。

借助 NAC，客户可以只允许合法的、值得信任的终端设备（例如 PC、服务器、PDA）接入网络，而不允许其它设备接入。

3.2.1.16 漏扫

即漏洞扫描，指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测（渗透攻击）行为