手册下载
H3C SecPath DF2000系列数据库安全防护系统
典型配置举例
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
H3C SecPath DF2000系列数据库安全防护系统是自主研发的一款基于数据协议分析与控制的数据安全产品。通过智能自动学习、自动建模、漏洞特征识别、访问控制、攻击检测与防护等功能对数据进行全方位保护。同时具备完善的告警机制、细粒度的审计日志和合规性的报表,解决客户的核心数据库面临的“越权使用、漏洞攻击、SQL注入”等安全威胁,能够满足各类法令法规对数据库安全防护系统系统的要求。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解端口镜像特性。
· 添加的数据库与安全防护系统网络互通
适用产品:H3C SecPath DF2000系列
适用版本:H3C i-Ware Software, Version 3.1, ESS 6701P01
该版本数据库安全防护系统支持4种基本网络部署模式和4种HA部署模式:
网络部署
· 桥接部署:
数据库安全防护系统桥接在应用服务器与数据库之间。
应用或用户依旧访问数据库的地址和端口不变。
· 反向代理部署:
数据库安全防护系统网络可达。
应用或用户改为访问数据库安全防护系统的地址和端口。
数据库安全防护系统作为流量处理节点,处理完毕后转发请求给数据库,并返回结果给用户。
· 桥接代理部署:
数据库安全防护系统桥接在应用服务器与数据库之间。
应用或用户依旧访问数据库的地址和端口不变。
· 旁路部署:
数据库安全防护系统作为应用服务器与数据库之间流量转发的另一条路。
应用或用户依旧访问数据库的地址和端口不变。
HA部署
· HA主主部署:
两台数据库安全防护系统,部署反向代理模式,添加相同资产(相同资产和代理端口),两台设备互为主备,使用VIP1、VIP2和代理端口访问数据库资产。
· HA主主负载部署:
两台数据库安全防护系统,部署反向代理模式,添加相同资产(相同资产和代理端口),两台设备互为主备,使用VIP1、VIP2和代理端口访问数据库资产。主机流量可分发到负载节点。
· HA主备部署:
两台数据库安全防护系统,部署反向代理模式,添加相同资产(相同资产和代理端口),两台设备互为主备,使用VIP和代理端口访问数据库资产。
· HA主备负载部署:
两台数据库安全防护系统,部署反向代理模式,添加相同资产(相同资产和代理端口),两台设备互为主备,使用VIP和代理端口访问数据库资产。主机流量可分发到负载节点。
图5-2 反向代理部署组网图
图5-3 桥接代理部署示意图
图5-4 旁路部署示意图
图5-5 HA主主部署示意图
图5-6 HA主主负载部署示意图
图5-7 HA主备部署示意图
图5-8 HA主备负载部署示意图
反向代理模式,安全防护系统代理资产进行安全防护。
按照组网图组网。如图6-1
(1) 登录数据安全防护系统。
(2) 浏览器中输入URL:https://服务器IP地址(如https://192.168.0.1 ),进入数据安全防护系统登录页面,输入管理员用户名admin、输入密码(默认密码admin),点击“登录”按钮。
(3) 添加资产,填写数据库配置
(4) 反向代理方式登录数据库,测试连接
(5) 查看安全防护系统审计日志
(1) 登录数据安全防护系统,设备默认模式为反向代理模式。
(2) 进入‘资产管理’页面,点击界面的「添加」按钮,在添加资产界面输入正确的数据库信息(举例:MYSQL);点击「测试连接」按钮,测试成功,点击「保存」按钮。
图6-2 反向代理资产配置
参数解释:
· 资产类型:必选项
· 资产ip:必填项,数据库IP
· 资产端口:必填项,数据库端口
· 数据库账号:非必填项,测试连接和风险扫描需要填写
· 数据库密码:非必填项,测试连接和风险扫描需要填写
· 数据库/实例名:非必填项,测试连接和风险扫描需要填写
· Web认证开关:开启/关闭web认证功能
· 部署模式:选择部署模式
· 端口:必填项,资产代理端口,范围9000-10000
(1) 数据库客户端测试连接成功。
图6-3 反向代理连接成功
(2) 安全防护系统有审计到业务日志。
图6-4 审计到业务日志
桥接模式,安全防护系统桥接的资产进行安全防护。
图7-1 桥接组网图
按照组网图组网。
(1) 浏览器中输入URL:https://服务器IP地址(如https://192.168.0.1),进入数据安全防护系统登录页面,输入管理员用户名secadmin、输入密码(默认密码secadmin),点击“登录”按钮。
(2) 登录数据安全防护系统,网卡设置中添加桥接模式接口GE0/2、GE0/3。
(3) 添加资产,选择桥接模式,填写数据库配置
(4) 直连方式登录数据库,测试连接
(5) 查看安全防护系统审计日志
(1) 浏览器中输入URL:https://服务器IP地址(如https://192.168.0.1),进入数据安全防护系统登录页面,输入管理员用户名secadmin、输入密码(默认密码secadmin),点击“登录”按钮。
(2) 网卡设置页面,添加桥接模式接口GE0/2、GE0/3。
图7-2 添加桥接代理接口
(3) 使用admin用户登录系统,进入‘资产管理’页面,点击界面的「添加」按钮,在添加资产界面输入正确的数据库信息(举例:MySQL)点击「保存」按钮。
图7-3 添加桥接资产
参数解释:
· 资产名称:必填项
· 资产类型:必选项
· 资产ip:必填项,数据库IP
· 资产端口:必填项,数据库端口
· 数据库账号:非必填项,测试连接和风险扫描需要填写
· 数据库密码:非必填项,测试连接和风险扫描需要填写
· 数据库/实例名:非必填项,测试连接和风险扫描需要填写
· Web认证开关:开启/关闭web认证功能
· 部署模式:选择部署模式
(1) 数据库客户端测试连接成功。
图7-4 桥接资产连接成功
图7-5 审计到业务日志
桥接代理模式,安全防护系统对桥接代理的资产进行安全防护。
图8-1 桥接代理组网图
按照组网图组网。
(1) 浏览器中输入URL:https://服务器IP地址(如https://192.168.0.1),进入数据安全防护系统录页面,输入管理员用户名secadmin、输入密码(默认密码secadmin),点击“登录”按钮。
(2) 登录数据安全防护系统,网卡设置中添加桥接模式接口GE0/2、GE0/3。
(3) 在生成的桥接网卡上,配置代理IP,例:192.168.11.76
(4) 验证:客户端、数据库安全防护系统、数据库网络互通(ping)。
(5) 添加资产,选择桥接代理模式,填写数据库配置
(1) 浏览器中输入URL:https://服务器IP地址(如https://192.168.0.1),进入数据安全防护系统登录页面,输入管理员用户名admin、输入密码(默认密码admin),点击“登录”按钮。
(2) 网卡设置页面,添加桥接代理模式接口GE0/2、GE0/3。
图8-2 添加桥接代理接口
(3) 在网卡设置-网卡详情处,在生成的桥接网卡上,配置代理IP,例:192.168.11.76
图8-3 添加桥接代理IP
(4) 如图8-4所示,使用admin用户登录系统,进入‘资产管理’页面,点击界面的「添加」按钮,在添加资产界面输入正确的数据库信息(举例:MySQL);点击「测试连接」按钮,测试成功,点击「保存」按钮。
参数解释:
· 资产名称:必填项
· 资产类型:必选项
· 资产ip:必填项,数据库IP
· 资产端口:必填项,数据库端口
· 数据库账号:非必填项,测试连接和风险扫描需要填写
· 数据库密码:非必填项,测试连接和风险扫描需要填写
· 数据库/实例名:非必填项,测试连接和风险扫描需要填写
· Web认证开关:开启/关闭web认证功能
· 部署模式:选择桥接代理部署模式
· 端口:必填项,资产代理端口,范围9000-10000
数据库客户端测试连接成功,安全防护系统有审计到业务日志,如图8-5,图8-6。
旁路模式,安全防护系统镜像的资产进行安全防护。
图9-1 旁路组网图
按照组网图组网。
(1) 浏览器中输入URL:https://服务器IP地址(如https://192.168.0.1),进入数据安全防护系统登录页面,输入管理员用户名secadmin、输入密码(默认密码secadmin),点击“登录”按钮。
(2) 登录数据安全防护系统,网卡设置中添加旁路模式接口GE0/0。
(3) 添加资产,选择旁路模式,填写数据库配置
(4) 直连方式登录数据库,测试连接
(5) 查看安全防护系统审计日志
(1) 浏览器中输入URL:https://服务器IP地址(如https://192.168.0.1),进入数据安全防护统登录页面,输入管理员用户名secadmin、输入密码(默认密码secadmin),点击“登录”按钮。
(2) 网卡设置页面,添加旁路模式接口GE0/0。
图9-2 旁路模式添加接口
(3) 所示,进入‘资产管理’页面,点击界面的「添加」按钮,在添加资产界面输入正确的数据库信息(举例:MySQL),点击「测试连接」按钮,测试成功,点击「保存」按钮。
图9-3 旁路模式添加资产
参数解释:
· 资产名称:必填项
· 资产类型:必选项
· 资产ip:必填项,数据库IP
· 资产端口:必填项,数据库端口
· 数据库账号:非必填项,测试连接和风险扫描需要填写
· 数据库密码:非必填项,测试连接和风险扫描需要填写
· 数据库/实例名:非必填项,测试连接和风险扫描需要填写
· Web认证开关:开启/关闭web认证功能
· 部署模式:选择旁路部署模式
(1) 数据库客户端测试连接成功。
图9-4 旁路模式连接资产
(2) 安全防护系统有审计到业务日志。
图9-5 安全防护系统审计日志
配置两台数据库安全防护系统,对安全防护系统的资产进行安全防护。
图10-1 HA主主模式组网图
按照组网图组网。
(1) 浏览器中输入URL:https://服务器IP地址(如https://192.168.11.75、https://192.168.11.76),进入数据安全防护系统登录页面,输入管理员用户名secadmin、输入密码(默认密码secadmin),点击“登录”按钮。系统默认为反向代理模式。
(2) 登录数据安全防护系统,高可用配置中填写两台设备的双机配置(模式、接口、虚拟ip)。
(3) 设备管理-高可用配置,启动两台设备的双机配置。
(4) 登录数据安全防护系统,两台设备分别添加相同资产和端口(反向代理资产)。
(5) 代理模式登录数据库(使用虚拟IP和代理端口登录资产),测试连接。
(6) 查看虚拟IP运行状态。
(7) 查看安全防护系统审计日志。
(1) 浏览器中输入URL:https://服务器IP地址(如https://192.168.11.75、https://192.168.11.76),进入数据安全防护系统登录页面,输入管理员用户名secadmin、输入密码(默认密码secadmin),点击“登录”按钮。
(2) 网卡设置页面,两台设备分别添加高可用配置。
图10-2 设备1配置虚拟IP
图10-3 设备2配置虚拟IP2
参数解释:
模式:必选项,选择主主
· 接口:必选项,选择管理口
· 虚拟ip1:必填项,填写虚拟IP1,设备1:选择虚拟ip1为主,设备2:选择虚拟ip1为备
· 虚拟ip子网掩码:必填项
· 虚拟ip:必填项,填写虚拟IP2,设备1:选择虚拟ip2为主,设备2:选择虚拟ip1为备
· 虚拟ip子网掩码:必填项
· 虚拟IP角色:必选项,选择主备身份
(3) 使用admin管理员登录分别登录两台设备,进入‘资产管理’页面,点击界面的「添加」按钮,在添加资产界面输入正确的数据库信息(举例:MySQL)点击「保存」按钮。
图10-4 添加反向代理资产
参数解释:
· 资产名称:必填项
· 资产类型:必选项
· 资产ip:必填项,数据库IP
· 资产端口:必填项,数据库端口
· 数据库账号:非必填项,测试连接和风险扫描需要填写
· 数据库密码:非必填项,测试连接和风险扫描需要填写
· 数据库/实例名:非必填项,测试连接和风险扫描需要填写
· Web认证开关:开启/关闭web认证功能
· 部署模式:选择部署模式
(1) 数据库客户端测试连接成功。
图10-5 反向代理组网图
(2) 安全防护系统有审计到业务日志。
图10-6 安全防护系统审计日志
配置多台数据库安全防护系统,对安全防护系统的资产进行安全防护。
图11-1 HA主主负载模式组网图
按照组网图组网。
(1) 浏览器中输入URL:https://服务器IP地址(如https://192.168.11.75、https://192.168.11.76),进入数据安全防护系统登录页面,输入管理员用户名secadmin、输入密码(默认密码secadmin),点击“登录”按钮。系统默认为反向代理模式
(2) 登录数据安全防护系统,高可用配置中填写两台主备设备的双机配置(模式、接口、虚拟ip)
(3) 设备管理-高可用配置,启动两台设备的双机配置
(4) 添加负载节点
(5) 登录数据安全防护系统,四台设备分别添加相同资产和端口(反向代理资产)
(6) 代理模式登录数据库(使用虚拟IP和代理端口登录资产),测试连接
(7) 查看虚拟IP运行状态
(8) 查看安全防护系统审计日志
(1) 浏览器中输入URL:https://服务器IP地址(如https://192.168.11.75、https://192.168.11.76),进入数据安全防护系统登录页面,输入管理员用户名secadmin、输入密码(默认密码secadmin),点击“登录”按钮。
(2) 网卡设置页面,两台设备分别添加高可用配置。
图11-2 添加主机配置
图11-3 添加备机配置
参数解释:
· 模式:必选项,选择主备
· 接口:必选项,选择管理口
· 虚拟ip1:必填项,填写虚拟IP1,设备1:选择虚拟ip1为主,设备2:选择虚拟ip1为备
· 虚拟ip子网掩码:必填项
· 虚拟ip:必填项,填写虚拟IP2,设备1:选择虚拟ip2为主,设备2:选择虚拟ip1为备
· 虚拟ip子网掩码:必填项
虚拟IP角色:必选项,选择主备身份
(3) 添加负载均衡节点
图11-4 添加负载均衡节点1
图11-5 添加负载均衡节点2
(4) 使用admin管理员分别登录四台主备和负载设备,进入‘资产管理’页面,点击界面的「添加」按钮,在添加资产界面输入正确的数据库信息(举例:MySQL)点击「保存」按钮。
图11-6 添加反向代理资产
参数解释:
· 资产名称:必填项
· 资产类型:必选项
· 资产ip:必填项,数据库IP
· 资产端口:必填项,数据库端口
· 数据库账号:非必填项,测试连接和风险扫描需要填写
· 数据库密码:非必填项,测试连接和风险扫描需要填写
· 数据库/实例名:非必填项,测试连接和风险扫描需要填写
· Web认证开关:开启/关闭web认证功能
· 部署模式:选择桥接部署模式
(1) 数据库客户端测试连接成功。
图11-7 登录虚拟IP
(2) 负载节点设备安全防护系统有审计到业务日志。
配置两台数据库安全防护系统,对安全防护系统的资产进行安全防护。
图12-1 HA主备模式组网图
按照组网图组网。
(1) 浏览器中输入URL:https://服务器IP地址(如https://192.168.11.75、https://192.168.11.76),进入数据安全防护系统登录页面,输入管理员用户名secadmin、输入密码(默认密码secadmin),点击“登录”按钮。系统默认为反向代理模式
(2) 登录数据安全防护系统,高可用配置中填写两台设备的双机配置(模式、接口、虚拟ip)
(3) 设备管理-高可用配置,启动两台设备的双机配置
(4) 代理模式登录数据库(使用虚拟IP和代理端口登录资产),测试连接
(5) 查看虚拟IP运行状态
(6) 查看安全防护系统审计日志
(1) 浏览器中输入URL:https://服务器IP地址(如https://192.168.11.75、https://192.168.11.76),进入数据安全防护系统登录页面,输入管理员用户名secadmin、输入密码(默认密码secadmin),点击“登录”按钮。
(2) 网卡设置页面,两台设备分别添加高可用配置。
图12-2 添加主机配置
图12-3 添加备机配置
参数解释:
· 模式:必选项,选择主备
· 接口:必选项,选择管理口
· 虚拟ip:必填项,填写虚拟IP
· 虚拟ip子网掩码:必填项
· 虚拟IP角色:必选项,选择主备身份
(3) 所示,进入‘资产管理’页面,点击界面的「添加」按钮,在添加资产界面输入正确的数据库信息(举例:MySQL)点击「保存」按钮。
图12-4 添加反向代理资产
参数解释:
· 资产名称:必填项
· 资产类型:必选项
· 资产ip:必填项,数据库IP
· 资产端口:必填项,数据库端口
· 数据库账号:非必填项,测试连接和风险扫描需要填写
· 数据库密码:非必填项,测试连接和风险扫描需要填写
· 数据库/实例名:非必填项,测试连接和风险扫描需要填写
· Web认证开关:开启/关闭web认证功能
· 部署模式:选择部署模式
(1) 数据库客户端测试连接成功。
图12-5 虚拟IP连接成功
(2) 角色为主的安全防护系统有审计到业务日志。
图12-6 安全防护系统审计日志
配置多台数据库安全防护系统,对安全防护系统的资产进行安全防护。
图13-1 HA主备负载模式组网图
按照组网图组网。
(1) 浏览器中输入URL:https://服务器IP地址(如https://192.168.11.75、https://192.168.11.76),进入数据安全防护系统登录页面,输入管理员用户名secadmin、输入密码(默认密码secadmin),点击“登录”按钮。系统默认为反向代理模式
(2) 登录数据安全防护系统,高可用配置中填写两台主备设备的双机配置(模式、接口、虚拟ip)
(3) 设备管理-高可用配置,启动两台设备的双机配置
(4) 添加负载节点
(5) 登录数据安全防护系统,四台设备分别添加相同资产和端口(反向代理资产)
(6) 代理模式登录数据库(使用虚拟IP和代理端口登录资产),测试连接
(7) 查看虚拟IP运行状态
(8) 查看安全防护系统审计日志
(1) 浏览器中输入URL:https://服务器IP地址(如https://192.168.11.75、https://192.168.11.76),进入数据安全防护系统登录页面,输入管理员用户名secadmin、输入密码(默认密码secadmin),点击“登录”按钮。
(2) 网卡设置页面,两台设备分别添加高可用配置。
图13-2 添加主机配置
图13-3 添加备机配置
参数解释:
· 模式:必选项,选择主备
· 接口:必选项,选择管理口
· 虚拟ip:必填项,填写虚拟IP
· 虚拟ip子网掩码:必填项
· 虚拟IP角色:必选项,选择主备身份
(3) 添加负载均衡节点
图13-4 添加负载均衡节点1
图13-5 添加负载均衡节点2
(4) 使用admin管理员分别登录四台主备和负载设备,进入‘资产管理’页面,点击界面的「添加」按钮,在添加资产界面输入正确的数据库信息(举例:MySQL)点击「保存」按钮。
图13-6 添加反向代理资产
参数解释:
· 资产名称:必填项
· 资产类型:必选项
· 资产ip:必填项,数据库IP
· 资产端口:必填项,数据库端口
· 数据库账号:非必填项,测试连接和风险扫描需要填写
· 数据库密码:非必填项,测试连接和风险扫描需要填写
· 数据库/实例名:非必填项,测试连接和风险扫描需要填写
· Web认证开关:开启/关闭web认证功能
· 部署模式:选择桥接部署模式
(1) 数据库客户端测试连接成功。
图13-7 登录虚拟IP
(2) 负载节点设备安全防护系统有审计到业务日志。
图13-8 安全防护系统审计日志
数据安全防护系统部署方式为反向代理部署。安全防护系统代理数据库,数据库客户端访问代理的数据库,安全防护系统对流量进行协议解析,然后匹配策略,匹配成功阻断,否则放过。
图14-1 组网图
浏览器中输入URL:https://服务器IP地址(如https://192.168.0.1),进入数据安全防护系统登录页面,输入管理员用户名admin、输入密码(默认密码admin),点击“登录”按钮。
(1) 登录数据安全防护系统,设备默认模式为反向代理模式
(2) 进入‘资产管理’页面,点击界面的「添加」按钮,在添加资产界面输入正确的数据库信息(举例:MYSQL);点击「测试连接」按钮,测试成功,点击「保存」按钮。
参数解释:
· 资产名称:必填项
· 资产类型:必选项
· 资产ip:必填项,数据库IP
· 资产端口:必填项,数据库端口
· 数据库账号:非必填项,测试连接和风险扫描需要填写
· 数据库密码:非必填项,测试连接和风险扫描需要填写
· 数据库/实例名:非必填项,测试连接和风险扫描需要填写
· Web认证开关:开启/关闭web认证功能
· 部署模式:选择反向代理部署模式
· 端口:必填项,资产代理端口,范围9000-10000
(1) 如图14-3所示,进入“策略防护>自定义策略”页面,点击“添加策略组”按钮。进入”添加策略组”页面,输入策略名称点击“确定”保存。
(2) 选择新添加的策略组,点击“添加策略”。具体页面如图14-4所示。
图14-5 添加策略
如图14-6所示,进入“策略防护>策略设置”页面选择已添加的数据库资产。勾选“自定义策略”,点击“编辑”按钮。打开策略列表页面,勾选自定义策略,点击确定。然后再点击“策略应用”按钮。
图14-7 应用自定义策略
(1) 如图14-8所示,数据库客户端连接代理的资产,执行:select * from test;
图14-8 执行sql语句被阻断
(2) 查看安全防护系统的审计日志,产生告警日志,如图14-9。
(3) 查看日志详情,识别到sql内容,触发策略,动作显示为阻断
图14-10 日志详情显示为阻断
图15-1 组网图
浏览器中输入URL:https://服务器IP地址(如https://192.168.0.1),进入数据安全防护系统登录页面,输入管理员用户名admin、输入密码(默认密码admin),点击“登录”按钮。
(1) 登录数据库安全防护系统,设备默认模式为反向代理模式
(2) 进入‘资产管理’页面,点击界面的「添加」按钮,在添加资产界面输入正确的数据库信息(举例:mysql);点击「测试连接」按钮,测试成功,点击「保存」按钮。
图15-2 反向代理资产配置
参数解释:
· 资产名称:必填项
· 资产类型:必选项
· 资产ip:必填项,数据库IP
· 资产端口:必填项,数据库端口
· 数据库账号:非必填项,测试连接和风险扫描需要填写
· 数据库密码:非必填项,测试连接和风险扫描需要填写
· 数据库/实例名:非必填项,测试连接和风险扫描需要填写
· Web认证开关:开启/关闭web认证功能
· 部署模式:选择反向代理部署模式
· 端口:必填项,资产代理端口,范围9000-10000
(1) 使用数据库工具,反向代理登录资产,执行一条sql语句(例:select name from test)
(2) 查看审计日志,查看生成的语句,如图15-3,生成七条语句,查看其中的show,set语句
图15-3 执行sql生成的语句
图15-4 查看show语句
图15-5 查看set语句
(1) 将SET PROFILING = 1,SHOW STATUS语句添加至客户端过滤白名单。
图15-6 将SET PROFILING = 1语句添加至白名单
图15-7 将SHOW STATUS语句添加至白名单
(2) 勾选客户端过滤白名单,选定资产,应用策略并生效。
图15-8 勾选客户端过滤白名单
(1) 再次执行SQL语句,查看审计日志,只剩三条select语句,SET PROFILING = 1,SHOW STATUS语句已被过滤。
图15-9 查看再次生成的日志
数据安全防护系统为用户提供web认证功能。资产开启web认证后,系统会对该资产进行web认证保护,未经过认证的PC(数据库客户端)不可访问该资产。反之认证过的PC可以访问该资产。
图16-1 组网图
浏览器中输入URL:https://服务器IP地址(如https://192.168.0.1),进入数据安全防护系统登录页面,输入管理员用户名admin、输入密码(默认密码admin),点击“登录”按钮。
(1) 登录数据安全防护系统,设备默认模式为反向代理模式。
(2) 进入‘资产管理’页面,点击界面的「添加」按钮,在添加资产界面输入正确的数据库信息(举例:mysql);点击「测试连接」按钮,测试成功,点击「保存」按钮。
图16-2 反向代理资产配置
参数解释:
· 资产名称:必填项
· 资产类型:必选项
· 资产ip:必填项,数据库IP
· 资产端口:必填项,数据库端口
· 数据库账号:非必填项,测试连接和风险扫描需要填写
· 数据库密码:非必填项,测试连接和风险扫描需要填写
· 数据库/实例名:非必填项,测试连接和风险扫描需要填写
· Web认证开关:开启/关闭web认证功能
· 部署模式:选择反向代理部署模式
· 端口:必填项,资产代理端口,范围9000-10000
如图16-3所示,进入“资产管理-资产列表”页面。选择资产,点击编辑按钮。打开web认证开关,点击“保存”按钮,保存配置。
(1) 如图16-4,在secadmin“用户管理-账号管理 ”页面,点击“创建账号”按钮,添加正确的信息(角色选择认证操作员),点击“确定”按钮。
图16-4 创建web认证账号
(2) 审核账号,点击用户管理-账号审核,勾选刚创建的账号,点击通过。
图16-5 审核web认证账号
图16-6 登录web认证账号
图16-7 登录认证成功
(1) PC1不登录web认证账号(视为未web认证),在用该PC上的数据库客户端访问被web认证保护的资产(开启web认证功能的资产),无法连接,查看审计日志有对应告警日志,如图16-8所示。
(2) PC2登录web认证账号(视为客户端已经认证),在用该PC上的数据库客户端访问被web认证保护的资产(开启web认证功能的资产),可正常访问,如图16-9所示。
图16-10 已经认证过的客户端可访问资产(有认证时间,每次认证时间为一小时)
数据安全防护系统为用户提供智能基线功能。资产开启学习后,系统会在这一段时间对操作进行学习,最后生成基线数据模型,该基线模型可作为策略对数据库资产进行,安全防护。
图17-1 组网图
浏览器中输入URL:https://服务器IP地址(如https://192.168.0.1),进入数据安全防护系统登录页面,输入管理员用户名admin、输入密码(默认密码admin),点击“登录”按钮。
(1) 登录数据安全防护系统,设备默认模式为反向代理模式。
(2) 进入‘资产管理’页面,点击界面的「添加」按钮,在添加资产界面输入正确的数据库信息(举例:sql);点击「测试连接」按钮,测试成功,点击「保存」按钮。
图17-2 自定义策略页面
参数解释:
· 资产名称:必填项
· 资产类型:必选项
· 资产ip:必填项,数据库IP
· 资产端口:必填项,数据库端口
· 数据库账号:非必填项,测试连接和风险扫描需要填写
· 数据库密码:非必填项,测试连接和风险扫描需要填写
· 数据库/实例名:非必填项,测试连接和风险扫描需要填写
· Web认证开关:开启/关闭web认证功能
· 部署模式:选择反向代理部署模式
· 端口:必填项,资产代理端口,范围9000-10000
如图17-3所示,进入“策略防护-智能防护基线-基线管理”页面。选择需要学习的资产,学习设置“启用”,点击“”按钮。应用成功,如图17-4所示。
使用代理模式在客户端访问数据库代理资产,执行sql(例如:select * from test)。
进入“策略防护-智能防护基线-基线管理”页面。选择学习的资产,学习设置“停用”,点击“应用”按钮
如图17-5所示,进入“策略防护-智能防护基线-基线内容”页面。点击“”选择数据库用户查看学习期学习到的内容。
参数解释:
· IP地址:执行语句客户端的地址
· 资产客户端:Oracle可识别资产客户端字段
· 操作系统主机名:Oracle可识别操作系统主机名字段
· 操作系统用户:数据库用户
· 目标:数据库schema
· 操作对象:目标表
如图17-7,进入“策略防护-策略设置”页面。勾选“智能防护基线”,点击“编辑”,弹出智能防护基线列表页面,选择最新日期的模型记录,点击“确定”按钮,如图17-8。最后在“策略防护-策略设置”页面,点击“策略应用”按钮进行策略应用。
数据库客户端访问资产,执行学习期内学习的内容不告警(例如:select * from test)。
图17-10 执行已学习语句,不触发基线告警
数据库客户端访问资产,执行学习期内没有学习到的内容,审计日志有告警日志(例如:select * from test2)
图17-11 执行未学习语句,触发基线告警
图18-1 组网图
浏览器中输入URL:https://服务器IP地址(如https://192.168.0.1),进入数据安全防护系统登录页面,输入管理员用户名admin、输入密码(默认密码admin),点击“登录”按钮。
(1) 登录数据安全防护系统,设备默认模式为反向代理模式。
(2) 进入‘资产管理’页面,点击界面的「添加」按钮,在添加资产界面输入正确的数据库信息(举例:oracle);点击「测试连接」按钮,测试成功,点击「保存」按钮。
图18-2 反向代理资产配置
参数解释:
· 资产名称:必填项
· 资产类型:必选项
· 资产ip:必填项,数据库IP
· 资产端口:必填项,数据库端口
· 数据库账号:非必填项,测试连接和风险扫描需要填写
· 数据库密码:非必填项,测试连接和风险扫描需要填写
· 数据库/实例名:非必填项,测试连接和风险扫描需要填写
· Web认证开关:开启/关闭web认证功能
· 部署模式:选择反向代理部署模式
· 端口:必填项,资产代理端口,范围9000-10000
(1) 打开策略防护,勾选虚拟补丁策略,选择资产风险等级选择高风险,应用策略(所有虚拟补丁策略默认状态为开启)
图18-3 应用虚拟补丁策略
登录代理资产,执行一条缓冲区溢出语句,例:CREATE TEMPORARY TABLE test1( id int(11) NOT NULL DEFAULT '0', name varchar(10) DEFAULT NULL, PRIMARY KEY (id) ) ENGINE=InnoDB DEFAULT CHARSET=utf8
查看审计日志,触发虚拟补丁告警日志
图18-4 触发虚拟补丁策略
业务字典,该模块可配置业务字段,配置的业务名称可以用来翻译日志中的敏感信息。可添加业务字典的项有IP、账号、操作、操作对象。添加的业务字典都可进行编辑和修改。
图19-1 组网图
浏览器中输入URL:https://服务器IP地址(如https://192.168.0.1),进入数据安全防护系统登录页面,输入管理员用户名admin、输入密码(默认密码admin),点击“登录”按钮。
(1) 登录数据安全防护系统,设备默认模式为反向代理模式
(2) 进入‘资产管理’页面,点击界面的「添加」按钮,在添加资产界面输入正确的数据库信息(举例:mysql);点击「测试连接」按钮,测试成功,点击「保存」按钮。
图19-2 反向代理资产配置
参数解释:
· 资产名称:必填项
· 资产类型:必选项
· 资产ip:必填项,数据库IP
· 资产端口:必填项,数据库端口
· 数据库账号:非必填项,测试连接和风险扫描需要填写
· 数据库密码:非必填项,测试连接和风险扫描需要填写
· 数据库/实例名:非必填项,测试连接和风险扫描需要填写
· Web认证开关:开启/关闭web认证功能
· 部署模式:选择反向代理部署模式
· 端口:必填项,资产代理端口,范围9000-10000
登录反向代理资产,产生审计日志
图19-3 查看审计日志
(1) 添加IP翻译
图19-4 添加客户端ip翻译
图19-5 添加服务端ip翻译
(2) 添加账号翻译
图19-6 添加账号翻译
(3) 添加操作翻译
图19-7 添加操作翻译
(4) 添加操作对象翻译
图19-8 添加操作对象翻译
(5) 开启业务字典设置开关
图19-9 开启业务字典开关
查看添加翻译后的审计日志
查看添加翻译后的审计日志
图19-10 查看翻译后的审计日志
图19-11 查看日志详情