基于第三代蜜罐网关ROO，简单搭建攻防网络环境。

课程需要搭建网络攻防环境，在过程中，总结问题，并进行解决，现将经验总结如下。

蜜罐网关概述

蜜网网关的目的是搜集安全威胁的信息，以发现新的入侵工具、测定攻击模式、研究攻击者的动机，利用Honeynet搜集的信息可以更好地理解和对付来自内部和外部的威胁。它通过构造一个有着明显安全漏洞的系统来引诱入侵者对其进行攻击，让攻击者将时间和精力都费在蜜网中，从而使他们远离真正的网络。蜜网技术提供了一套完整的、能够发现并深入分析网络安全威胁的体系框架，并具备了许多主动安全防御的特性，如能够消耗攻击者的时间，获得黑客攻击的新手段，降低真实主机受到攻击的可能性等。蜜网技术作为一种新的比较完善的研究黑客行为的工具，必将得到充分的发展和使用，其应用前景也将会越来越广阔^。

Tool

Vmware 10

注虚拟网关:System:roo-1.4.hw-20090425114542(其中已集成Snort网络入侵检测系统，p0f操作系统识别工具，Sebek:够捕获的系统行为包括攻击进程树、进程关联的网络流、进程打开或读写的文件、进程执行的命令以及 Shell进程产生的键击记录等。

)

靶机:选择相应主机操作系统

一切工作准备完后进下如下操作

安装蜜网网关虚拟机

按以下步骤安装蜜网网关虚拟机：

1)新建虚拟机，选择Custom安装

2)选择蜜网网关虚拟机的操作系统类型为Linux,版本为Red Hat Linux

3)将蜜网网关虚拟机命名为HoneyWall，并保存路径。

4)设置蜜网网关虚拟硬件，如处理器个数，内存大小，磁盘容量等。

5)设置网络连接方式，选择为桥模式。

6)设置虚拟硬盘接口类型，SCSI接口选择为BusLogic。

7)设置虚拟硬盘为IDE硬盘。

8)设置虚拟硬盘大小为20G，选取无需立即分配全部空间选项。

9）指定虚拟硬盘文件的绝对路径，注意必须给出全绝对路径。

10) 为HoneyWall再添加两块网卡，其中Ethernet 2设为Host-only,Ethernet3设为Bridged为桥模式

11)设置CDROM为蜜网网关roo-1.4.hw软件ISO。

12）点击确定后，给HoneyWall加电源启动蜜网网关虚拟机，进入安装界面（如下图3-2）所示

图3-2 蜜网网关软件安装界面

13）蜜网网关软件安装完毕，进入登录界面（如图3-3）。

图3-3 登陆界面

配置蜜网网关虚拟机

1) 由上图(3-3)登录蜜网网关以roo/honey缺省用户/口令登录，使用su - 提升到root帐号，缺省口令也为honey。

2）蜜网网关初始配置：蜜网网关配置菜单选项界面，选择4 HoneywallConfiguration进行；对The Honeynet Project的不承担风险声明选择Yes。然后选择Defaults配置方式。

3）蜜罐信息配置：命令行menu进入蜜网网关配置界面，选择4 HoneyWallConfiguration；选择1 Mode and IP Information；选择2 Honeypot IP Address。蜜罐IP信息配置，空格分隔多个IP地址。然后再选择5 LAN Broadcast Address ,配置蜜网网段的广播IP地址。再选择6 LAN CIDR Prefix，蜜网网段配置，CIDR格式

192.168.100.0/24(这里是你配置密网的网段)

4）蜜网网关管理配置：回到蜜网网关配置主界面，选择4 HoneyWall Configuration，接着选择2 Remote Management，再选择1 Management IP Address，设置管理口的IP地址为192.168.100.150；接着选择2 Management Netmask :输入255.255.255.0；选择3 ManagementGateway，输入192.168.100.1(根据你所处网络部署网关)；选择6 ManagementDNSServers，输入61.134.1.4；选择7 Manager，设置可以管理蜜网网关的网段为192.168.100.0/24

5）Sebek服务器端配置：返回蜜网网关配置主界面，选择4 HoneyWallConfiguration，选择11 Sebek目标端口选择为1101，Sebek数据包处理选项选择为Drop。

部署完后，主机进行测试

配置管理主机(一定要跟之前配置的管理网段相符)，直接进入浏览器，输入https://192.168.100.150

配置如下。