部署方案
旁路接入,零耦合上线
安全工具最大的失败,是自己成了故障源。Refract 从架构上回避这一点——接在交换机镜像 / 光分路器(TAP)后, 物理上不在数据通路,不引入单点故障、不增加时延,永不阻断、改写或解密你的流量。
部署拓扑
采集口只读旁路 · 管理口独立运维
流量来源 交换机镜像 SPAN
/ 光分路器 TAP
/ 光分路器 TAP
只读镜像 · 单向
Refract 采集主机 被动采集与判定
采集口:混杂模式、无 IP,纯被动只读
管理口:独立网卡,走 Web / SSH 运维
运维侧 浏览器 NOC 看板
判定 · 证据 · 工单
采集口接镜像 / 分光流量,物理上不在数据通路;管理口与业务网络隔离,按需限制访问来源。
两种形态
软件版,或开箱即用 Appliance
软件版
装在接镜像 / 分光口的采集主机,Docker Compose 一键起栈。同架构镜像可直接复用,核心服务 restart: always,宿主重启自动拉起。
Refract Appliance · Max R30 Edge
预装、即插即用、完全气隙可运行。情报 / 指纹 / 矿池库离线 sideload,适配涉密与隔离网。
CPU 型负载
服务器规格随镜像线速而定,不随"AI"噱头而定,成本可控,无需 GPU。
气隙友好
核心检测不依赖外网,本地密钥、本地情报,适配涉密 / 隔离网环境。
上线即加固
生产模式下默认密钥 / 弱口令 / 通配 CORS 任一存在则拒绝启动(fail-closed)。
被动只读硬约束
架构层面保证永不阻断业务;采集口混杂模式、无 IP,单向只读。
首次部署清单
六步上线
- 准备一台接好镜像 / 分光口的主机(或使用 Refract Appliance · Max R30 Edge)。
- 复制配置模板 cp deploy/.env.example deploy/.env,并设置强随机密钥/口令。
- REFRACT_ENV=production 启用上线安全自检;REFRACT_AUTH_REQUIRED=1 开启登录墙。
- 指定采集口 REFRACT_CAPTURE_IFACE(用 ip -br link 确认)。
- docker compose up -d 启动(默认干净启动,不含演示数据)。
- 浏览器访问 http://<管理IP>:8080,用 admin 登录,在「流量接入」页选采集口启动采集。
生产环境若未设强密钥 / 口令,引擎会拒绝启动(fail-closed)——这是有意的保护。
角色与权限 · RBAC
读、分析、管理,三级分权
| 角色 | 权限 |
|---|---|
| viewer(只读) | 查看看板与判定 |
| analyst(分析员) | 读 + 改工单状态、加白、标注校准、导出证据 |
| admin(管理员) | 全部 + 用户管理、登录锁开关、采集启停 |