H3C SecPath D2000-G[AK][V]系列数据库审计系统 典型配举例(E6201及其以后版本)-5W108

手册下载

H3C SecPath D2000-G[AK][V]系列数据库审计系统

典型配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2021 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。


 

1 简介·· 1

2 配置前提·· 1

3 事件审计配置举例·· 1

3.1 应用需求·· 1

3.2 配置注意事项·· 1

3.3 使用版本·· 1

3.4 配置步骤·· 1

3.4.1 网络配置·· 1

3.4.2 监听数据库配置·· 5

3.4.3 配置数据库审计规则·· 8

3.4.4 配置事件响应·· 11

3.5 验证配置·· 13

4 报表中心配置举例·· 14

4.1 应用需求·· 14

4.2 配置注意事项·· 15

4.3 使用版本·· 15

4.4 配置步骤·· 15

4.4.1 流量周期统计报表·· 15

4.4.2 流量一次性报表·· 16

4.4.3 特权周期跟踪类报表·· 17

4.4.4 特权一次性跟踪类报表·· 18

4.4.5 流量钻取展示配置·· 19

4.4.6 报表邮件发送配置·· 19

4.5 验证配置·· 20

5 配置管理举例·· 20

5.1 应用需求·· 20

5.2 配置注意事项·· 20

5.3 使用版本·· 20

5.4 配置步骤·· 20

5.4.1 备份配置·· 20

5.4.2 恢复配置·· 21

5.5 验证配置·· 22

6 数据归档举例·· 22

6.1 应用需求·· 22

6.2 配置注意事项·· 22

6.3 使用版本·· 22

6.4 配置步骤·· 22

6.5 验证配置·· 23

7 历史回档客户端操作举例·· 23

7.1 应用需求·· 23

7.2 配置注意事项·· 23

7.3 使用版本·· 24

7.4 配置步骤·· 24

8 流量探针部署举例(E6204及其以前版本) 29

8.1 应用需求·· 29

8.2 配置注意事项·· 29

8.3 使用版本·· 29

8.4 举例场景说明·· 29

8.5 配置步骤·· 30

8.5.1 流量探针的配置·· 30

8.5.2 数据库审计配置·· 35

8.6 验证配置·· 38

9 流量探针部署举例(E6205及其以后版本)·· 39

9.1 应用需求·· 39

9.2 配置注意事项·· 39

9.3 使用版本·· 39

9.4 举例场景说明·· 39

9.5 配置步骤·· 40

9.5.1 流量探针的配置·· 40

9.5.2 数据库审计配置·· 46

9.6 验证配置·· 51

10 Vxlan环境配置举例·· 52

10.1 应用需求·· 52

10.2 配置注意事项·· 52

10.3 使用版本·· 52

10.4 配置步骤·· 52

11 录屏客户端与播放器的配置与使用·· 53

11.1 应用需求·· 53

11.2 配置注意事项·· 53

11.3 使用版本·· 53

11.4 配置步骤·· 53

 


简介

本文档介绍了H3C SecPath数据库审计系统的配置举例。

配置前提

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解数据库审计、策略等特性。

事件审计配置举例

3.1  应用需求

为了保障数据信息的安全,运维人员可通过数据库审计系统监控和审计用户对数据库中的数据库表 、视图、序列、包、存储过程、函数、库、索引、同义词、快照、触发器等的创建、修改和删除等,分析SQL操作语句。通过设置的规则,智能的判断出违规操作数据库的行为,并对违规行为进行记录、报警,及时地发现针对数据库的违规操作行为。

3.2  配置注意事项

·              短信通知需短信猫设备支持;

·              邮件通知中不同的邮箱类型需设置不同的服务器地址。

3.3  使用版本

本举例是在H3C i-Ware Software, Version 3.10, ESS 6205版本上进行配置和验证的。

3.4  配置步骤

3.4.1  网络配置

1. IPv4环境配置步骤

(1)      电脑终端通过交叉线直连设备第一网口(网卡1,即GE0/0)

(2)      打开浏览器,输入地址:https://192.168.0.1,打开WEB登录页面;

(3)      使用admin帐号登录数据库审计系统;

(4)      点击左侧菜单栏的“系统管理”-“网络配置”,打开“网络配置”页面;

(5)      配置管理口(网卡1 ,即GE0/0)的IP地址,在面板模式页面上,鼠标放置于第一个网口上时出现设置修改IP项。

图1 修改IP-面板模式(IPv4

在表格模式下,鼠标置于第一个网口,右键点击出现设置修改IP项。

图2 修改IP-表格模式(IPv4

 

配置好IPv4地址、子网掩码和网关后,点击确定按钮。

图3 IP配置界面(IPv4

 

最后需点击配置生效按钮,使得修改的配置生效。

注意事项:点击配置生效后,登录数据库审计web界面需访问数据库审计系统新的管理IP地址。默认的IP地址为IPv4地址,如需通过IPV6地址访问数据库审计系统,请参考IPV6环境配置步骤进行配置。

2. IPV6环境配置步骤

(1)      电脑终端通过交叉线直连设备第一网口(网卡1,即GE0/0)

(2)      打开浏览器,输入地址:https://[2004::24 ],打开WEB登录页面;

(3)      使用admin帐号登录数据库审计系统;

(4)      点击左侧菜单栏的“系统管理”-“网络配置”,打开“网络配置”页面;

(5)      配置管理口(网卡1 ,即GE0/0)的IP地址,在面板模式页面上,鼠标放置于第一个网口上时出现设置修改IP项。

图4 修改IP-面板模式(IPV6

在表格模式下,鼠标置于第一个网口,右键点击出现设置修改IP项。

图5 修改IP-表格模式(IPV6

 

配置好IPV6地址、子网前缀长度和网关后,点击确定按钮。

图6 IP配置界面(IPV6

 

最后需点击配置生效按钮,使得修改的配置生效。

注意事项:点击配置生效后,登录数据库审计web界面需访问数据库审计系统新的管理IP地址。可同时配置IPv4IPV6地址,且可通过IPv4IPV6地址访问数据库审计系统。

3.4.2  监听数据库配置

(1)      打开浏览器,输入前面配置的管理IP地址,打开登录页面;

图7 Web登录界面

 

(2)      使用sec帐号登录数据库审计系统;

(3)      点击左侧菜单栏的“策略中心”-“监听配置,打开监听配置页面;

图8 监听配置

(4)      在“业务系统配置”配置页中,点击“添加”按钮,弹出“添加业务系统”窗口;

图9 添加业务系统-未填写

(5)      在弹出的窗口中进行数据库监听配置,其中:

¡  业务系统名称可以任意填写由字母、数字、下划线和英文.号或者中文组成的字符串。

¡  状态设置为启用

¡  编码策略可以选择自动识别或者是对应的编码类型。

¡  数据库有主流数据库、国产数据库和专用数据库,选择不同项目,类型中出现不同的数据库类型选择项。

¡  类型选择为对应的数据库类型,本例为MySQL数据库。

¡  IP填写数据库服务器IP,本例为183.1.0.154

¡  端口填写数据库服务器端口,本例为3306

图10 添加业务系统-已填写

 

(6)      配置完成后,点击确定按钮,完成数据库监听配置。

3.4.3  配置数据库审计规则

(1)      打开浏览器,输入前面配置的管理IP地址,打开登录页面;使用sec账户登录数据库审计系统;点击左侧菜单栏的“策略中心”-“事件定义”,打开事件定义页面;

图11 事件定义

 

(2)      在“数据库应用规则”配置页中,点击“添加”按钮,弹出“增加数据库应用规则”窗口;

(3)      在弹出的窗口中进行数据库审计规则配置;

图12 事件定义具体配置

 

(4)      配置完成后,点击“确定”按钮,完成数据库审计规则配置;

数据库规则配置举例如下:

常规设置

·              规则名:test

·              规则状态:启用

·              风险级别:高可疑

·              规则动作:记录

·              规则描述:查看每周二早上8点到下午18101.1.12.2主机对183.1.0.154数据库服务器上的数据库进行查询操作的情况。

客户端触发条件设置

·              时间范围=08:00-18:00 每周周二

·              客户端地址:Or101.1.12.2

·              操作方式:Orselect

服务端触发条件设置

·              服务端地址:183.1.0.154

·              记录返回值:记录,记录不超过4096字节。

说明

客户端条件和服务端条件可以在对象管理中配置,也可以点击选项后面的“+”直接添加。

 

图13 增加数据库应用规则

 

 

3.4.4  配置事件响应

在“策略中心”-“事件响应,在事件响应页面中,系统将识别到的事件分三个等级:高可疑、中可疑、低可疑三级。响应策略主要有:windows报警、syslog告警、SNMP TRAP告警、发送邮件、短信猫五种。

图14 事件响应

 

1. 风险响应策略

为各类风险事件设置统一响应策略,并以列表形式展示设置结果。选择某类可疑程度后,后点击 修改按钮,可修改该可疑类的响应策略。

图15 修改风险响应策略

 

2. 响应策略配置

响应策略配置主要是配置各类响应策略的参数。

响应策略配置举例如下:

(1)      Windows警配置

·              IP地址:10.5.8.244

·              发送最小时间间隔(分钟):60

·              保存配置后选择测试。

图16 Windows告警配置

 

(2)      syslog告警配置

·              IP地址:10.5.8.244

·              端口:514

图17 Syslog告警配置

 

(3)      SNMP TRAP服务器配置

·              启用:打钩

·              IP地址:183.12.12.12

·              端口:162

·              版本:V2C保存配置

图18 SNMP TRAP告警

 

(4)      邮件服务器配置

·              DNS服务器:114.114.114.114

·              邮件服务器地址:smtp.exmail.qq.com

·              发件人地址:1126631187@qq.com

·              密码:(根据需要填写)

·              发送最小时间间隔(分钟):60

·              收件人地址:1126631187@qq.com;6237485866@qq.com

图19 邮件服务器配置

(5)      短信猫配置

·              启用:打钩

·              电话号码:15705954758

·              保存配置后点击测试,提示测试通过即可

图20 短信猫配置

 

(6)      风险响应策略

·              高可疑响应策略:windows告警、syslog

·              中可疑响应策略:邮件。

·              低可疑响应策略:SNMP

图21 风险响应策略

 

3.5  验证配置

(1)      对数据库进行操作,触发审计规则;

(2)      在“审计中心”-“语句查询”页面的实时语句能查询到语句数据;

(3)      在“监控中心”-“事件查看”页面中能查询到根据预设定的规则产生的事件;

(4)      各级别可疑事件能够按既定的告警方式发送日志信息。

图22 验证Windows消息框

 

图23 验证Syslog告警

 

图24 验证SNMP trap告警

 

图25 验证邮件告警

 

报表中心配置举例

4.1  应用需求

报表功能是审计日志大数据系统化、可视化分析的具体表现。H3C SecPath数据库审计系统可提供根据安全经验和行业需求预定义的报表模板和审计报告,如审计设备自身健康状态分析报告、特权账号与异常时段分析报告、业务流量分析报告、塞班斯(SOX)法案数据库安全审计符合性报告等等。通过报表功能中的审计报告、周期报送等,直观体现了审计日志和风险分析中数据库安全趋势,帮助安全管理人员更加便捷、深入的剖析数据库运行风险。

4.2  配置注意事项

·              目前系统默认会在每天的00:00-07:00期间生成报表。

·              可将流量周期统计报表添加到“监控中心”-“流量钻取”中展示,但要求“报表对象”列表中的统计对象最多两种。

4.3  使用版本

本举例是在H3C i-Ware Software, Version 3.10, ESS 6205版本上进行配置和验证的。

4.4  配置步骤

报表任务,是生成报表的依据,包含两种类型:自定义和系统默认。自定义报表任务,是系统根据用户制定的任务生成符合条件的报表;系统默认提供了七个报表任务,生成的报表也可以在“监控中心”-“流量钻取”中查看。

报表任务界面主要操作有:查看报表、新建报表、编辑报表、删除报表、导入报表配置、导出报表配置等功能。

报表任务配置举例如下:

4.4.1  流量周期统计报表

例如:对数据库用户名进行统计,排除y(如:root)和z(如:system)帐号。

·              报表类型:流量周期统计报表。

·              报表名称:数据库用户名排除yz统计。

·              展示方式:按排名展示

·              报表对象:数据库用户名 not root;数据库用户名 not system,点击确定按钮。

图26 新增流量周期性报表

 

4.4.2  流量一次性报表

例如:在14号当天0点到16点时间段中,除101.1.21.11主机外,统计主机对数据库的访问量。

·              报表类型:流量一次性报表。

·              报表名称:排除101.1.21.11登录数据库统计。

·              时间范围:2020-12-14 00:00 2020-12-14 16:26

·              展示方式:按排名展示

·              报表对象 :源IP not 101.1.21.11;数据库名 =全部 ,点击“确定”按钮。

图27 新增流量一次性报表

4.4.3  特权周期跟踪类报表

·              报表类型:特权周期跟踪类报表。

·              报表名称:Rollback等操作方式统计。

·              特权操作方式:ROLLBACKDROP TABLECREATE TABLEREVOKE, 点击“确定”按钮。

图28 新增特权周期类报表

 

4.4.4  特权一次性跟踪类报表

·              报表类型:特权一次性跟踪类报表。

·              报表名称:Alter_Role等操作方式统计

·              特权操作方式:ALTER ROLEDROP VIEWCREATE USERDROP INDEXDROP TABLECREATE, 点击“确定”按钮。

图29 新增特权一次性报表

 

4.4.5  流量钻取展示配置

流量周期统计报表,支持添加到监控中心”-“流量钻取中展示。

图30 展示方式

 

4.4.6  报表邮件发送配置

四种报表类型均支持自动发送邮件。

图31 常规参数

 

4.5  验证配置

(1)      除了一次性报表可立即查看外,其它制定的报表隔天能够在报表任务报表查看页面中查看。

(2)      添加流量钻取展示后,可在监控中心”-“流量钻取页面查看到该报表的相关展示。

(3)      配置邮件发送后,可在收件人邮箱中查看是否收到报表邮件,报表以压缩包形式发送。

配置管理举例

5.1  应用需求

在用户环境中配置数据的重要性不言而喻,为防止系统出现操作失误或系统故障导致数据丢失等问题,因此,需精细化的配置管理,能将全部或部分配置数据集合恢复到设备。H3C SecPath数据库审计系统支持对审计配置全集和分量(模块)的配置,执行备份与还原。当用户发生设备损坏,更换备机等情况时,能快速进行审计系统配置还原,实现无损更换使用。方便运维人员对审计系统维护,快速还原某个模块的某个配置,实现精细化的配置管理。

5.2  配置注意事项

·              在不同环境选择恢复网络配置时,应注意设备IP冲突,避免发生无法登录的情况。

·              配置管理主机时,建议先配置自身PCIP地址,避免发生无法登录的情况。

5.3  使用版本

本举例是在H3C i-Ware Software, Version 3.10, ESS 6205版本上进行配置和验证的。

5.4  配置步骤

5.4.1  备份配置

(1)      使用admin帐号登录数据库审计系统,点击左侧菜单栏的“系统管理”-“配置备份,打开配置备份页面;

图32 配置管理

(2)      点击备份配置按钮,弹出备份当前配置窗口;

(3)      对系统中各配置项进行备份,可选配置备份项包括流量探针、SQL模版、语句查询、报表任务、事件报表过滤规则、监听配置、事件定义、对象管理、客户端信息、敏感信息、事件响应、入侵检测规则、交换机信息、用户管理、数据归档参数、日志响应、网络配置、管理主机、引擎相关配置、数据库相关配置、SYSLOG数据支撑、API数据支撑。选择备份项后,点击“确定”按钮,系统提示是否备份,继续点击“确定”按钮后,系统进行配置备份。

图33 备份当前配置

5.4.2  恢复配置

配置恢复能将审计系统的配置恢复到之前的某个版本。

(1)      导入之前的备份配置文件;

(2)      选择某个配置备份记录,点击“恢复配置”按钮,在弹出的“选择要恢复的配置”窗口中选择相应项,然后点击“确认”按钮;

(3)      系统提示是否恢复配置,继续点击“确定”按钮后,系统进行配置恢复。当前的系统配置将恢复到该配置。默认不选择网络配置、管理主机的配置,恢复可能导致系统无法访问,需谨慎选择。

5.5  验证配置

(1)      成功备份配置

(2)      成功恢复配置

(3)      配置能够成功下载、导入。

(4)      逐一查看各个配置是否准确恢复。

数据归档举例

6.1  应用需求

审计系统自带的硬盘容量有限,审计的历史数据永久保存,系统会根据硬盘剩余空间动态删除最早的历史数据。因此,系统支持将储存的历史归档数据外传,实现归档数据的无限扩展和永久存储。

6.2  配置注意事项

·              实现数据归档的外传,需先配置好归档参数。

·              设置外传的服务器上要有足够的磁盘空间存储归档文件。

6.3  使用版本

本举例是在H3C i-Ware Software, Version 3.10, ESS 6205版本上进行配置和验证的。

6.4  配置步骤

归档参数配置

(1)      使用sec帐号登录数据库审计系统,点击左侧菜单栏的“系统管理”-“数据归档,打开数据归档页面;

(2)      点击归档参数配置分项页;

(3)      设置归档文件外传功能的开启以及外传服务器的相关参数设置;

图34 数据归档

 

 

(4)      填写参数后,点击“保存配置”按钮,系统能自动检测配置是否正确,如有错误,根据提示进行修改,正确后会保存配置;

(5)      系统默认每天凌晨两点执行归档操作。

(6)      如需修改密码,请先勾选<修改密码>

6.5  验证配置

系统正常运行后,隔日到设置的外传服务器磁盘目录上查看,是否有归档文件生成。

历史回档客户端操作举例

7.1  应用需求

系统的备份机制,自动对每天的语句明细数据做归档备份。同时,因硬盘容量有限,系统会根据硬盘剩余空间动态删除最早的未归档历史语句明细数据。因此,针对需查询已归档的历史数据时,可通过历史回档客户端进行历史数据回档查询。

7.2  配置注意事项

·              历史回档查询客户端需运行在windows环境下,支持WindowsXP版本、windows7版本、Windows8版本、Windows8.1版本

·              一次选择单个或多个日期进行归档文件的解压,所选择文件的数据状态都必须为正常;

·              设置归档文件解压后所存放的文件夹目录必须为空目录,如需再次解压,请清空该目录;

·              解压成功后,需对Win_restore文件夹设置samba共享;

7.3  使用版本

本举例是在H3C i-Ware Software, Version 3.10, ESS 6205版本上进行配置和验证的。

7.4  配置步骤

(1)      下载客户端

可在数据库审计的登录页面下载工具安装包。例如,数据库审计系统管理地址为10.5.8.202,打开浏览器,输入地址,打开登录页面,在页面右上角点击“历史数据回档客户端”,下载客户端。

图35 客户端下载

 

(2)      安装客户端

解压已下载的“historyquery.rar”文件,打开“历史数据回档查询_Setup.exe”按照提示进行安装。

图36 客户端安装界面

 

(3)      配置客户端

安装完成后,双击桌面上的“历史数据回档查询”图标 ,打开历史数据回档查询客户端,界面如下

图37 配置界面

 

界面说明:

·              标记1:备份的归档文件所在的文件夹目录;

·              标记2:设置归档文件解压后所存放的文件夹目录;

·              标记3:归档文件夹里可能存在多个引擎的备份数据,客户端能自动识别多引擎数据,通过选择不同的引擎id,管理、区分不同引擎的数据;

·              标记4:展示统计归档文件夹下归档文件的总天数;

·              标记5:展示已选引擎所有的归档数据:

¡  根据所需,选择单个或多个日期进行归档文件的解压;

¡  数据有三种状态(正常(只有该状态才能进行解压操作)、索引文件缺失、数据文件缺失);

·              标记6:设置好解压目录及日期后,点击“解压”按钮,进行归档数据的解压。解压完成后,会提示“解压完成!”。

图38 解压界面

 

图39 解压成功

 

(4)      回档数据挂载配置

使用sec账户登录审计WEB管理页面,点击左侧菜单栏上的“系统管理”,展开后,点击“数据归档”,打开数据归档页面,点击页面上的“回档数据挂载配置”,切换到“回档数据挂载配置”页面,页面如下:

图40 回档数据挂载配置界面

 

 

在基础配置项中,根据实际环境选择和填写来源类型、服务器IP、服务器目录、用户名、密码等。填写完整后,点击“保存配置”按钮,如配置成功,会有提示,则完成挂载。如需修改密码,请先勾选<修改密码>

如有其它异常提示,请联系售后技术人员处理;

图41 挂载成功后提示界面

 

(5)      历史数据回档查询

配置完成后,点击左侧菜单栏上的“审计中心”,展开后,点击“语句查询”,打开语句查询页面。点击页面上的“历史会话查询”,切换到“历史会话查询”页,点击“显示更多条件”后。在“数据来源”选项中,选择samba服务,系统会自动加载Win_restore文件夹中的历史数据,根据需要进行历史数据查询。页面如下:

图42 历史数据回档查询界面

 

流量探针部署举例(E6204及其以前版本)

8.1  应用需求

对于云环境或者服务器内部报文交互等交换无法镜像流量的情况,采用旁路镜像方式就无法进行数据库服务器的审计,为了应对这种旁路镜像无法审计的情况,我们就可以采用在数据库服务器上安装流量探针的部署方式进行审计。

8.2  配置注意事项

·               Linux64安装包理论上支持Linux 2.6.32 及以上内核版本的Linux系统,例如Centos6 X64Linux32位安装包理论上支持Linux 2.6.24 及以上内核版本的Linux系统,例如Ubuntu 14.04X86

·              Windows版安装包兼容32位与64位系统,理论上Windows用户版支持Windows 7及以上操作系统,与Windows服务器版支持Windows Server 2008及以上操作系统。

·              服务器上安装流量探针会占用一定的内存和硬盘空间,请合理安排。

·              流量探针功能暂时只支持在IPv4环境下使用。

8.3  使用版本

本举例是在H3C i-Ware Software, Version 3.10, ESS 6204P07版本上进行配置和验证的。

8.4  举例场景说明

客户端(101.1.12.2):

用于访问数据库审计系统管理界面,进行数据库审计系统的相关配置。

数据库审计系统:

管理口IP183.1.10.52):被访问的,实现数据库审计系统的管理。

业务口IP22.1.1.61):用于与数据库服务器的通信IP进行通信,接收流量探针转发的流量。

数据库服务器:

服务器使用的网卡(183.1.0.18):数据库服务器的连接IP,所有连接数据库的流量要经过此网卡,流量探针转发此网卡的流量。

通信网卡(22.1.1.60):服务器上流量探针与数据库审计系统通信的网卡,被转发网卡的流量从此网卡发向数据库审计系统的业务口。

8.5  配置步骤

8.5.1  流量探针的配置

1. 下载流量探针安装包

打开浏览器,访问数据库审计设备的登录页面,鼠标移至登录页面的右上角,在展开的下拉项中,选择流量探针客户端,即可下载流量探针安装包。

图43 下载流量探针客户端界面

 

解压后,分为LinuxWindows两个文件夹,其中Windows文件夹中的flowagent.exeWindows流量探针安装包,Linux文件夹中的flowagent.tar.gzflowagent_32.tar.gzLinux流量探针安装包。

图44 流量探针客户端安装包

2. Linux系统客户端安装

使用远程工具,如Xshell工具,设置连接参数,输入用户名、密码,连接用户数据库服务器。

图45 连接Linux服务器

 

 

连接上数据库服务器后,将下载好的流量探针flowagent.tar.gz (如果系统版本为32位,则使用flowagent_32.tar.gz)文件通过文件传输工具Xftp上传到用户许可的文件夹。例如,上传到根目录下的mnt/disk文件夹, 使用命令(cd /路径名,如“cd /mnt/disk”)进入该文件夹后,接着使用解压命令“tar -zxvf flowagent.tar.gz”,解压flowagent.tar.gz文件。

备注:可使用“getconf LONG_BIT ”命令查看Linux系统是64位还是32位。

图46 解压安装包

 

 

进入解压后的flowt文件夹,输入安装命令“sh setup.sh”回车后完成安装。

图47 完成安装界面

 

 

3. Linux系统的配置

输入测试命令“cd /mnt/flowt”,回车,继续输入命令“ ./flowagent -i eth0,eth1 -s eth2 -h 10.5.8.202”

注:

eth0eth1eth210.5.8.202根据实际环境填写。

eth0:数据库服务器上流量需被转发的网卡名。

eth1:数据库服务器上流量需被转发的网卡名。

eth2:数据库服务器上通信IP所在的网卡名。

10.5.8.202:数据库审计设备上接收转发流量的网卡IP

运行测试命令后,确认流量探针是否正常运行,如果打印“LoginResult >>> OK”则运行成功,

使用组合键“Ctrl+C”退出,流量探针客户端会自动重新启动,并按照已通过的参数运行。

4. Windows系统客户端安装

(1)      双击npcap-0.992.exe文件,根据提示安装npcap

图48 Npcap安装界面

 

 

(2)      点击“I Agree”,进入下一步,勾选下图选项后,点击“Install”安装;

图49  Npcap安装选项界面

 

(3)      双击flowagent.exe文件,根据提示安装客户端。

图50 流量探针安装界面

5. Windows系统的配置

(1)      填写数据库审计设备管理接收转发流量的网卡IP

(2)      选择数据库服务器通信网卡/IP (数据库服务器上通信网卡IP,一般情况下为本机的IP)

(3)      勾选是否需开机启动;

(4)      勾选数据库服务器需要转发流量的网卡,使用鼠标双击备注区域,可对该网卡进行备注。网卡描述中带有“loopback”字样的网卡为本地回环网卡,部分操作系统安装好后会出现两个或者多个本地回环网卡,如需监听本地回环数据,必须将带有“loopback”字样的网卡都勾选转发。如下图中带有“loopback”字样的网卡12必须都勾选后,才可正常监听本地回环数据。如果只是监听本地网卡(不需要回环数据),只需勾选对应的网卡即可;

(5)      点击“保存”按钮,保存配置。

如下图所示:

图51 流量探针配置页面

 

 

8.5.2  数据库审计配置

1. 面板模式下设置业务口

使用“admin/admin”账户登录数据库审计系统,打开“系统管理à网络配置à面板模式”界面,鼠标选择业务口,在出现的悬浮窗上点击“设置/修改IP”按钮。

图52 面板模式下“设置/修改IP”按钮

 

 

填写业务口IP和掩码。

图53 填写业务口IP

 

注:业务口无法设置网关,配置的IP需与服务器的通信IP三层通信,需配置静态路由

面板模式和表格模式下任选一种方式修改业务口IP即可。

点击“配置生效”按钮,使得配置业务口IP生效。

图54 表格模式下的配置生效

 

 

2. 表格模式下配置业务口IP

使用“admin/admin”账户登录数据库审计系统,打开“系统管理à网络配置à表格模式”界面,选择业务口,右击鼠标后点击“设置/修改IP”按钮。

图55 表格模式下“设置/修改IP”按钮

 

填写业务口IP和掩码。

图56 填写业务口IP

 

注:业务口无法设置网关,配置的IP需与服务器的通信IP三层通信时,需配置静态路由。

面板模式和表格模式下任选一种方式修改业务口IP即可。

点击配置生效按钮,使得配置业务口IP生效。

图57 表格模式下的配置生效

 

3. 配置流量探针的通信IP

图58 数据库审计系统上流量探针配置

 

4. 配置监听业务系统配置

具体配置方法与3.4.2节配置方法相同,请参考此小节,配置需要审计的数据库服务器IP

8.6  验证配置

客户端访问数据库服务器,使用“sec/sec”账户登录数据库审计系统,打开“审计中心à语句查询à实时查询”页面,能够查询到客户端访问数据库服务器的SQL语句记录。

图59 审计记录

流量探针部署举例E6205及其以后版本)

9.1  应用需求

对于云环境或者服务器内部报文交互等交换无法镜像流量的情况,采用旁路镜像方式就无法进行数据库服务器的审计,为了应对这种旁路镜像无法审计的情况,我们就可以采用在数据库服务器上安装流量探针的部署方式进行审计。

9.2  配置注意事项

·               Linux64安装包理论上支持Linux 2.6.32 及以上内核版本的Linux系统,例如Centos6 X64Linux32位安装包理论上支持Linux 2.6.24 及以上内核版本的Linux系统,例如Ubuntu 14.04X86

·              Windows版安装包兼容32位与64位系统,理论上Windows用户版支持Windows 7及以上操作系统,与Windows服务器版支持Windows Server 2008及以上操作系统。

·              服务器上安装流量探针会占用一定的内存和硬盘空间,请合理安排。

9.3  使用版本

本举例是在H3C i-Ware Software, Version 3.10, ESS 6205版本上进行配置和验证的。

9.4  举例场景说明

客户端(101.1.12.2):

用于访问数据库审计系统管理界面,进行数据库审计系统的相关配置。

数据库审计系统:                                              

管理口IP183.1.10.52):被访问的,实现数据库审计系统的管理。

业务口IP22.1.1.61):用于与数据库服务器的通信IP进行通信,接收流量探针转发的流量。

数据库服务器:

服务器使用的网卡(183.1.0.18):数据库服务器的连接IP,所有连接数据库的流量要经过此网卡,流量探针转发此网卡的流量。

通信网卡(22.1.1.60):服务器上流量探针与数据库审计系统通信的网卡,被转发网卡的流量从此网卡发向数据库审计系统的业务口。

9.5  配置步骤

9.5.1  流量探针的配置

1. 下载流量探针安装包

打开浏览器,访问数据库审计设备的登录页面,鼠标移至登录页面的右上角,在展开的下拉项中,选择流量探针客户端,即可下载流量探针安装包。

图60 下载流量探针客户端界面

 

解压后,得到三个安装包,其中flowagent1.1.3_w.zipWindows流量探针安装包, flowagent1.1.3_s.tar.gzflowagent1.1.3_t.tar.gzLinux流量探针安装包。

图61 流量探针客户端安装包

2. Linux系统客户端安装

使用远程工具,如Xshell工具,设置连接参数,输入用户名、密码,连接用户数据库服务器。

图62 连接Linux服务器

 

 

连接上数据库服务器后,将下载好的流量探针flowagent1.1.3_s.tar.gz (如果系统版本为32位,则使用flowagent1.1.3_t.tar.gz)文件通过文件传输工具Xftp上传到用户许可的文件夹。例如,上传到根目录下的mnt/disk文件夹, 使用命令(cd /路径名,如“cd /mnt/disk”)进入该文件夹后,接着使用解压命令“tar -zxvf flowagent1.1.3_s.tar.gz”,解压flowagent1.1.3_s.tar.gz文件。

备注:可使用“getconf LONG_BIT ”命令查看Linux系统是64位还是32位。

图63 解压安装包

 

 

进入解压后的flowt文件夹,输入安装命令“sh setup.sh”回车后完成安装。完成探针安装后,需修改探针监控程序权限与探针管理程序权限,并在修改完两项权限后,手动运行监控程序。

a) 输入命令“chmod 777 /mnt/flowt/flow_system.sh”,修改探针监控程序权限;

b) 输入命令“chmod 777 /mnt/flowt/flow_agentd.sh”,修改探针管理程序权限;

c) 输入命令“/mnt/flowt/flow_system.sh &”,运行探针监控程序。

图64 完成安装界面

 

 

3. Linux系统的配置

输入测试命令“cd /mnt/flowt”,回车,继续输入命令“ ./flowagent -i eth0,eth1 -s eth2 -h 10.5.6.71”

注:

eth0eth1eth210.5.6.71根据实际环境填写。

eth0:数据库服务器上流量需被转发的网卡名。

eth1:数据库服务器上流量需被转发的网卡名。

eth2:数据库服务器上通信IP所在的网卡名。

10.5.6.71:数据库审计设备上接收转发流量的网卡IP

运行测试命令后,初次运行时,由于此时流量探针处于未注册状态,界面将打印“LoginResult >>> fail”。

图65 初次运行命令执行后界面

使用组合键“Ctrl+C”退出,此时需进入数据库审计系统的监控中心/流量探针页面,配置此探针,使探针状态为已注册,具体操作参考《流量探针安装指导》。

在数据库安全审计系统的监控中心/流量探针页面注册探针后,再次运行探针,此时会出现“LoginResult >>> OK”的提示,表示探针安装配置成功。

图66 探针安装配置成功

 

此时先“Ctrl+C”停止手动运行,再执行“./flow_agentd.sh start”,让探针在后台自动运行。

执行命令“netstat -ant|grep 7766”,如出现以tcp开头的内容,表示流量探针注册成功后已在正常工作,如下图所示:

图67 探针正常工作

 

 

4. Windows系统客户端安装

(4)      双击npcap-0.992.exe文件,根据提示安装npcap

图68 Npcap安装界面

 

 

(5)      点击“I Agree”,进入下一步,勾选下图选项后,点击“Install”安装;

图69  Npcap安装选项界面

 

(6)      双击flowagent.exe文件,根据提示安装客户端。

图70 流量探针安装界面

5. Windows系统的配置

(1)      填写数据库审计设备管理接收转发流量的网卡IP

(2)      选择数据库服务器通信网卡/IP (数据库服务器上通信网卡IP,一般情况下为本机的IP)

(3)      勾选是否需开机启动;

(4)      勾选数据库服务器需要转发流量的网卡,使用鼠标双击备注区域,可对该网卡进行备注。网卡描述中带有“loopback”字样的网卡为本地回环网卡,部分操作系统安装好后会出现两个或者多个本地回环网卡,如需监听本地回环数据,必须将带有“loopback”字样的网卡都勾选转发。如下图中带有“loopback”字样的网卡12必须都勾选后,才可正常监听本地回环数据。如果只是监听本地网卡(不需要回环数据),只需勾选对应的网卡即可;

(5)      点击“保存”按钮,保存配置。

如下图所示:

图71 流量探针配置页面

 

 

9.5.2  数据库审计配置

1. 面板模式下设置业务口

使用“admin/admin”账户登录数据库审计系统,打开“系统管理à网络配置à面板模式”界面,鼠标选择业务口,在出现的悬浮窗上点击“设置/修改IP”按钮。

图72 面板模式下“设置/修改IP”按钮

 

 

填写业务口IP和掩码。

图73 填写业务口IP

 

注:业务口无法设置网关,配置的IP需与服务器的通信IP三层通信,需配置静态路由

面板模式和表格模式下任选一种方式修改业务口IP即可。

点击“配置生效”按钮,使得配置业务口IP生效。

图74 表格模式下的配置生效

 

 

2. 表格模式下配置业务口IP

使用“admin/admin”账户登录数据库审计系统,打开“系统管理à网络配置à表格模式”界面,选择业务口,右击鼠标后点击“设置/修改IP”按钮。

图75 表格模式下“设置/修改IP”按钮

 

填写业务口IP和掩码。

图76 填写业务口IP

 

注:业务口无法设置网关,配置的IP需与服务器的通信IP三层通信时,需配置静态路由。

面板模式和表格模式下任选一种方式修改业务口IP即可。

点击配置生效按钮,使得配置业务口IP生效。

图77 表格模式下的配置生效

 

3. 注册流量探针

(1)      客户端安装配置完成之后,使用admin账户登录系统,进入监控中心/流量探针页面,可看到已在服务器上安装配置完成,并与数据库安全审计系统成功通讯且探针状态为“未注册”的流量探针,如下图所示。

图78 未注册探针

 

点击某个未注册探针前的图标,弹出探针配置窗口,用户可根据需要对流量探针进行详细配置,如探针名称、探针IP、备注、监听网卡选择、关联业务系统,指定端口/IP审计配置等,配置完成之后,点击<确定>按钮,系统提示修改探针配置成功,该流量探针移入已注册探针列表,并开始转发流量。

a.   探针名称

用于标识探针名称,为必填项。

b.   备注

用于备注流量探针相关信息,便于用户查阅和管理,为选填项。

c.   监听网卡

用于配置流量探针客户端需要转发流量的网卡,为必填项。

d.   关联业务系统

用于标识流量探针转发的数据源,关联业务系统,为选填项。

e.   指定端口/IP审计配置:

流量探针支持转发流量过滤,可转发对指定端口/IP的流量。支持过滤内容包括端口、IPIP网段信息,数据范围支持包含与不包含。设置包含后,仅在包含范围内的数据才会被转发。设置不包含后,在不包含范围内的数据不会被转发。如包含与不包含的配置范围重叠,不包含的优先级更高。

图79 探针配置页面

          

4. 配置监听业务系统配置

具体配置方法与3.4.2节配置方法相同,请参考此小节,配置需要审计的数据库服务器IP

5. 注意事项

如有配置管理主机,需将数据库服务器系统的ip也加入管理主机。

9.6  验证配置

客户端访问数据库服务器,使用“sec/sec”账户登录数据库审计系统,打开“审计中心à语句查询à实时查询”页面,能够查询到客户端访问数据库服务器的SQL语句记录。

图80 审计记录

 

10  Vxlan环境配置举例

10.1  应用需求

Vxlan环境下数据库审计系统对vxlan报文解析,从而进行SQL语句的审计。

10.2  配置注意事项

Vxlan功能暂时只支持在IPv4环境下使用。

10.3  使用版本

本举例是在H3C i-Ware Software, Version 3.10, ESS 6205版本上进行配置和验证的。

10.4  配置步骤

1. 配置vxlan审计端口

(1)      使用admin角色登录系统,打开[系统管理/系统服务]页面,点击监听服务上的“配置”按钮,打开服务配置页面,填写VXLAN端口,如默认端口“4789”,点击“确定 ”按钮完成配置

图81 VXLAN配置

 

2. 配置监听业务系统配置

具体配置方法与3.4.2节配置方法相同,请参考此小节,配置需要审计的数据库服务器IP

11  录屏客户端与播放器的配置与使用

11.1  应用需求

系统除了常规的数据库访问行为、应用服务器行为的审计数据外,对于异常事件,系统还提供了终端行为录像功能。当发生事件时,系统向用户提供了事发前后5分钟,即共10分钟的终端屏幕录像,为事件追踪提供强有力的证据。

11.2  配置注意事项

需运行在Windows环境下,支持WindowsXP版本、Windows7版本、Windows8版本、Windows8.1版本、Windows10版本

·              确保录像客户端工具进程已运行。

·              确保”C:\video\tmpfile”目录下有录像文件生成。

·              被监控录屏的PC上需安装录屏客户端后,才可实现事件追踪录像功能。

·              管理员PC上需安装专用播放器后,才可正常播放事件追踪中的终端录像。

·              录屏客户端与播放器功能暂时只支持在IPv4环境下使用。

11.3  使用版本

本举例是在H3C i-Ware Software, Version 3.10, ESS 6205版本上进行配置和验证的。

11.4  配置步骤

(1)      下载录屏客户端工具

可在数据库审计的登录页面下载工具安装包。例如,数据库审计系统管理地址为10.5.8.202,打开浏览器,输入地址,打开登录页面,在页面右上角点击“录屏客户端与播放器”,下载客户端。

图82 录屏客户端工具下载

 

(2)      安装录屏客户端

在被监控录屏的PC上,解压已下载的“videoClient.rar”文件,打开“videoClient.v1.0.115.80.exe”按照提示进行安装。

图83 录屏客户端工具安装

 

 

(3)      配置录屏客户端

安装完成后,弹出提示窗口,配置服务器IP和服务器端口。这里的服务器IP,指的是数据库审计的管理IP,端口默认为443端口。

图84 配置数据库审计系统管理口IP

 

(4)      安装播放器客户端

在管理员PC上,解压已下载的“videoClient.rar”文件,打开“播放器.exe”,按照提示进行安装。

图85 安装播放器客户端

 

(5)      配置录像触发条件

登录数据库审计系统,例如,数据库审计系统的管理地址为10.5.8.202,使用sec角色账户登录后,在策略中心->事件响应->风险响应策略中,根据需要,选择高可疑、中可疑、低可疑三个级别,勾选风险响应策略预警动作组中的录像选项,保存即可。当发生对应级别的事件时,系统会自动进行终端录像。

图86 事件响应中配置

 

(6)      查看事件终端录像

事件发生后,进行事件追查时,可在监控中心->事件查看中,查看。

选择需查看的事件,点击事件追踪,打开事件追踪页面,可在页面的关联信息->终端录屏分页中下载终端录像查看。(在管理员PC上需先按照步骤4安装播放器)

图87 事件查看页面的事件追踪

 

图88 下载录屏文件

 

 

联系我们