我們需要蜜罐來蒐集情資，那麼蜜罐擺放的位置便很重要，一般會粗略分為外網、DMZ、內網三種位置：

1.外網
配置於防火牆外，或是在DMZ內將所有網路流量做PORT FORWARD轉至蜜罐，通常是純研究用，配置低交互式蜜罐，畢竟所有通訊協定（HTTP HTTPS NTP FTP DNS 等等）流量會產生大量資料，而且外網的風險為三者中最高，必須確認蜜罐不會被駭客攻破，變成發動攻擊的跳板。

2.DMZ
配置於防火牆後，內網之前的DMZ，由於防火牆會擋下大部分網路流量，只允許特定流量通往蜜罐(例如特定通訊協定FTP流量、或流量通往PORT 22等等)，可以配置低交互式蜜罐，蒐集特定資訊，例如以低交互蜜罐cowrie 蒐集SSH登入嘗試。因為蜜罐本身的SSH登入不使用預設PORT 22，所以可以記錄每次在PORT 22的SSH連線，從而找出駭客brute force attack暴力攻擊或針對帳密登錄攻擊來源。當發現有來自內網的PORT 22 SSH登入，內網有可能已被做為攻擊跳板，必須追查來源；也可在DMZ配置高交互式蜜罐，偵測來自內網或DMZ網段的攻擊。

3.內網
內網的網路流量應該是正常而且不應該觸及蜜罐的，如果有存取蜜罐資源的行為，必須追朔來源及調查手法，看是否設定錯誤產生broadcast流量，或是有來自內網的攻擊行為。在內網配置高交互式蜜罐可以從流量和動態中鑑識出駭客攻擊手法。

「君子用人如器，各取所長」—《資治通鑑》