前言

在当今网络安全形势日益复杂的背景下，企业面临的攻击手段不断升级，从内网渗透到外网威胁，安全防御的难度也在逐步增加。为了在威胁发生之前及时发现风险、在入侵之后快速响应，部署一套高效、智能的蜜罐系统成为企业安全体系中不可或缺的一环。

HFish 作为一款免费、开源、企业级蜜罐系统，以“安全、可靠、简单”为核心理念，为企业提供从失陷检测到威胁感知再到情报生产的全链路防御方案。它不仅支持超过 90 种蜜罐类型，涵盖常见的网络服务、OA 系统、NAS 存储、IoT 设备等，还可根据实际需求自定义低交互 Web 蜜罐，并可将攻击流量牵引至免费云端蜜网进行集中分析。

HFish 拥有极高的可扩展性与兼容性，支持 Linux/Windows 多平台及 x86、ARM、国产 CPU 架构，资源占用极低，部署维护简单。同时，它还内置多种告警机制，支持邮件、Webhook、企业微信、钉钉、飞书等通知方式，帮助运维人员第一时间掌握攻击动态。

本教程将通过 Docker 部署 HFish，带你快速上手这款功能强大的企业级蜜罐系统，实现安全监测的自动化与可视化，为你的网络防御体系再添一道坚实防线。

🚀 核心功能

1. 免费、简单、安全的蜜罐解决方案

HFish 是一款完全免费的蜜罐产品，设计目标是为中小型企业提供简单、低成本的安全防护手段。与传统的高成本安全设备不同，HFish 能够通过轻量级的蜜罐服务提供低误报率的威胁检测功能，是生产环境中威胁情报的理想来源。它帮助企业有效避免告警洪水问题，并通过低成本的部署增加威胁感知和情报生产能力。

2. 安全、敏捷的威胁感知能力

HFish 被广泛应用于感知企业内网的威胁行为，包括办公内网、生产环境、云内网等，能够识别横向移动、员工账号外泄、扫描探测、私有情报生成等异常行为。其多种告警输出形式支持与态感、NDR、XDR 或 日志平台 等安全体系集成，显著提升威胁检测的精准性和范围，帮助企业全面监控潜在的安全隐患。

3. 模块化、易扩展的架构设计

HFish 采用 B/S 架构，由 管理端 (server) 和 节点端 (client) 两部分组成。管理端负责生成和管理各个节点，接收并分析节点回传的数据，展示并存储相关安全事件。节点端则接收管理端的控制，独立运行虚拟蜜罐服务，承担安全检测任务。通过这种架构，用户可以灵活地管理多个蜜罐节点，扩展部署至不同的环境中，达到全方位的安全监测。

4. 多平台支持，跨架构兼容

HFish 支持 Linux x32/x64、ARM、Windows x32/x64 等多种平台，同时兼容多个国产操作系统和 CPU 架构，如龙芯、飞腾、鲲鹏等，适应不同环境的部署需求。其低资源消耗和高效的性能要求，使得它成为企业安全防护的轻量级解决方案，适用于多种硬件平台和操作系统。

5. 全面的告警与通知功能

HFish 提供邮件、syslog、Webhook、企业微信、钉钉、飞书等多种告警输出方式，帮助企业及时响应各类安全威胁。告警系统通过灵活配置，可以将威胁信息准确无误地传递给相关人员，确保安全事件得到快速处理。

6. 社区支持与持续更新

HFish 强大的社区支持不断推动其功能的完善和优化，开源的特性使得用户能够自由定制、扩展功能，甚至加入新的蜜罐服务。通过与社区合作，HFish 还可以不断改进其欺骗防御技术和最佳实践，为用户提供更高效的安全防护工具。

有关截图

首页

大屏

威胁感知

攻击来源

环境管理

平台管理

HFish各模块关系图

部署方法

使用Docker安装

本教程使用docker的方式安装部署,简单便捷

准备条件

1）一台服务器

我们使用莱卡云VPS和飞牛云NAS来演示

需要vps的可以看以下信息配置,可以参考以下资源占用情况
莱卡云官网

本期docker容器占用资源情况如下仅供参考内存占用大约500M

2）本项目使用到的项目

本教程使用的官方dockerhub地址
https://github.com/hacklcx/HFish

3）域名(可选)

根据自己的需求

① VPS部署

一、Docker环境部署

在vps安装docker和docker-compose
Docker官方安装文档（英文）
https://duan.yyzq.eu.org/docker-001
Docker-Compose官方安装文档（英文)
https://duan.yyzq.eu.org/docker-002
Centos安装Docker和Docker-compose（中文）
https://duan.yyzq.eu.org//03
Ubuntu安装Docker和Docker-compose（中文）
https://duan.yyzq.eu.org//04

==推荐直接用一键脚本==

docker安装脚本

bash <(curl -sSL https://cdn.jsdelivr.net/gh/SuperManito/LinuxMirrors@main/DockerInstallation.sh)

docker-compose安装脚本

curl -L "https://github.com/docker/compose/releases/latest/download/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose && chmod +x /usr/local/bin/docker-compose

二、部署命令

登录服务器使用root账户执行以下步骤

2.1docker run命令

docker run -d \
  --name hfish \
  --privileged \
  --network host \
  -v ./hfish:/usr/share/hfish \
  --restart always \
  threatbook/hfish-server:latest

2.2docker-compose命令

mkdir  hfish ;cd hfish

然后再新建docker-compose.yml

vim docker-compose.yml

services:
  hfish:
    image: threatbook/hfish-server:latest   # HFish 官方镜像
    container_name: hfish                   # 容器名称
    privileged: true                        # 开启特权模式（部分协议模拟需要）
    network_mode: host                      # 与宿主机共享网络（蜜罐最佳模式）
    volumes:
      - ./hfish:/usr/share/hfish            # 持久化数据目录，保存日志与配置
    restart: always                         # 自动重启

三、执行容器运行命令

docker-compose up -d #运行容器

docker-compose ps  #查看是否启动成功

==正常启动如下所示==

docker-compose ps
NAME      IMAGE                            COMMAND              SERVICE   CREATED          STATUS          PORTS
hfish     threatbook/hfish-server:latest   "/opt/hfish/hfish"   hfish     47 minutes ago   Up 47 minutes