阳光明媚到要拉窗帘，不然看不清楚屏幕。

网上看到一篇文章，看起来像翻译老外的文章，我提炼精简一下，用以传道。

部署蜜罐时将面临的10个抉择。

1.目的是什么？ 通常两个原因：预警 或 恶意行为分析。

2.蜜罐要做什么？  蜜罐模拟通常是由认为可以最好地、最早发现黑客或最好地保护您的重要资产驱动的。大多数蜜罐都模仿 应用程序服务器、数据库服务器、Web服务器和凭据数据库（例如域控制器，企业会用，管理各种授权的服务器）。

3.什么交互水平？ 低交互、中交互和高交互。上节课有讲过。

4.蜜罐放在哪里？ 大多数蜜罐应放置在它们试图模仿的资产附近。比如web蜜罐就放在有很多web资产的网段或区域。

5.真正的系统或仿真软件？ 大多数蜜罐都是完全运行的系统，其中包含真实的操作系统，可以利旧，用破旧的机器部署蜜罐。

6.开源还是商业？ 重要的是有维护，有更新，有支持，所以有钱还是商业。

7.哪个蜜罐产品？ 开源的估计就有上百，太多了，根据需求吧。

8.谁应该管理蜜罐？ 至少要明确一个人管理，该人员要参与计划，安装，配置，更新和监视蜜罐。如果不任命一个蜜罐管理员，蜜罐就毫无用处，并且在某些极端情况下，蜜罐还可能成为黑客的跳板。

9.您将如何刷新数据？  如果部署高交互性蜜罐，它将需要一些数据和内容，以使其看起来更真实。从其他机器COPY过去，可以，但是建议保持动态更新，这样才更真实，一般不会有服务器里的内容一层不变，所以里面的内容要经常更新。

10.应该使用哪些监视和警报工具？  除非您启用监视恶意活动的能力，并且在发生威胁事件时设置警报，否则蜜罐没有任何价值。不可能每时每刻都盯着蜜罐，所以要设置报警，第一时间掌握动态，这个通常在商业版本里做的更好，一些开源的需要做大量的分析配置工作。

看了一下文章，现在的商业蜜罐做的很高端了，赶脚是颠覆了传统的认知，比如看看下面的文章。

默安科技“二代蜜罐”在红蓝对抗中的应用 ，提到如下四点，感觉高大上。

旁路请求分发  低成本大面积覆盖 ；中继节点  内网快速全面部署  ；自定义深度攻击溯源  ；如同“狙击手”般的攻击反制功能。