【IT168专稿】入侵诱骗技术是较传统入侵检测技术更为主动的一种安全技术。主要包括蜜罐(Honeypot)和蜜网(Honeynet)两种。它是用特有的特征吸引攻击者，同时对攻击者的各种攻击行为进行分析，并找到有效的对付方法。为了吸引攻击者，网络管理员通常还在Honeypot上故意留下一些安全后门，或者放置一些攻击者希望得到的敏感信息，当然这些信息都是虚假。当入侵者正为攻入目标系统而沾沾自喜时，殊不知自己在目标系统中的所做所为，包括输入的字符，执行的操作等都已经被Honeypot所纪录。

    蜜罐技术
    Honeypot是一个资源，它的价值在于它会受到探测，攻击或攻陷。蜜罐并不修正任何问题，它们仅提供额外的、有价值的信息。所以说Honeypot并非是一种安全的解决方案，这是因为它并不会“修理”任何错误。它只是一种工具，如何使用这个工具取决于用户想做什么。Honeypot可以对其他系统和应用进行仿真，创建一个监禁环境将攻击者困在其中。无论用户如何建立和使用Honeypot，只有Honeypot受到攻击，它的作用才能发挥出来。所以为了方便攻击，最好是将Honeypot设置成域名服务器WEB或电子邮件转发服务等流行应用中的一种。

    蜜罐的部署
    蜜罐并不需要一个特定的支撑环境，它可以放置在一个标准服务器能够放置的任何地方。当然，根据所需要的服务，某些位置可能比其他位置更好一些。如图(1)显示了通常放置的三个位置：1.在防火墙前面；2.DMZ中；3.在防火墙后面。

    如果把蜜罐放在防火墙的前面，不会增加内部网络的任何安全风险，可以消除在防火墙后面出现一台失陷主机的可能性（因为蜜罐主机很容易被攻陷）。但是同时也不能吸引和产生不可预期的通信量，如端口扫描或网络攻击所导致的通信流，无法定位内部的攻击信息，也捕获不到内部攻击者。

    如果把蜜罐放在防火墙的后面，那么有可能给内部网络引入新的安全威胁，特别是如果蜜罐和内部网络之间没有额外的防火墙保护。正如前面所说，蜜罐通常都提供大量的伪装服务，因此不可避免地必须修改防火墙的规则，对进出内部网络的通信流量和蜜罐的通信加以区别和对待。否则一旦蜜罐失陷，那么整个网络内部将完全暴露在攻击者面前。

    较好的解决方案是让蜜罐运行在自己的DMZ内，同时保证DMZ内的其他服务器是安全的，只提供所必需要的服务，而蜜罐通常会伪装尽可能多的服务。DMZ同其他网络连接都用防火墙隔离，防火墙则可以根据需要同Internet连接。这种布局可以很好的解决对蜜罐的严格控制与灵活的运行环境矛盾，从而实现最高安全。