HFish 蜜罐配置指南

什么是 HFish

HFish 是一款由微步在线开源的多节点蜜罐系统，支持 HTTP、SSH、MySQL、Redis 等多种协议的仿真服务。它通过部署诱饵节点吸引攻击者，帮助企业及时发现内网渗透和横向移动行为。

部署架构

HFish 采用管理端-节点端架构。管理端负责告警汇总、数据分析与 Web 控制台，节点端负责运行蜜罐服务并上报攻击数据。生产环境建议将管理端部署在独立网段，节点分散布置在各个业务网段。

节点规划参考：核心业务区部署 2-3 个高交互节点（SSH、MySQL 蜜罐），办公网部署 1-2 个低交互节点（HTTP 蜜罐），DMZ 区部署对外服务的蜜罐节点。

安装步骤

管理端安装十分简单，官方提供一键部署脚本：

curl -sSL https://hfish.io/install.sh | bash
# 安装完成后访问 https://your-server:4433
# 默认账号 admin，首次登录需修改密码

节点端在管理面板中生成安装命令，复制到目标服务器执行即可自动注册。支持 Linux、Windows 多平台节点。

告警联动配置

HFish 支持多种告警通知方式，包括 Webhook、邮件、企业微信、钉钉等。在管理端"告警配置"中设置 Webhook URL，当蜜罐捕获攻击行为时自动推送告警消息。

建议与 NTFY 或 Apprise 联动，实现多通道告警分发。具体配置可参考后续文章中的 NTFY 与 Apprise 集成指南。

安全加固建议

蜜罐系统本身也需要安全加固：使用反向代理限制管理端访问来源 IP，定期更新 HFish 版本，蜜罐节点使用独立网卡避免影响业务网络，设置告警阈值防止告警风暴。