深信服数据库审计系统产品实施指南.docx
《深信服数据库审计系统产品实施指南.docx》由会员分享,可在线阅读,更多相关《深信服数据库审计系统产品实施指南.docx(11页珍藏版)》请在冰点文库上搜索。
深信服数据库审计系统产品实施指南
深信服数据库审计系统DAS
产品实施指南
第1章说明
此文档的目的,是为让产品自我运营,这里只说明运营和解决客户问题过程中的注意事项。
此文档的内容可以自由调整,达到目的和宗旨即可。
第2章概述
l版本的主要目的
数据库审计作为安全资源池解决方案部分,为了帮助客户做等保建设,保护客户数据安全。
l解决如下问题
1.解决数据库服务器与web服务器在同一台主机上时,无法将数据库的流量通过镜像交互机镜像到DAS上,现有的DAS审计方案无法实现审计功能
2.解决数据库在虚拟机环境中,无法将数据库的流量通过镜像交互机镜像到
DAS上,现有的DAS审计方案无法实现审计功能。
第3章支持/不支持的场景说明
功能
不支持
支持
Agent审计解决方案
1.不支持web服务器与数据库之间不使用
TCP通信场景。
(识别办法:
通过netstat命令查看连接内容是否有数据库TCP连接
windows下可以通过类似processhacker工具查看)2.Agent插件审计方案不支持安全策略的
拒绝功能。
,
支持数据库审计支持web审计
vDas虚拟机
1.不支持安全资源池之外的虚拟机平台
第4章注意事项
1.数据库Agent抓包方案会对网口流量产生影响,网络中的流量负载会加倍,使用过程中可以通过端口过滤掉非关键流量。
2.预发布包还不支持老配置导入。
3.在Agent功能开启前,已经建立的数据库连接,无法实现审计功能,新的连接可以。
4.在安全资源池中vDas使用Agent审计解决方案时,镜像口需要接到同一个物理出口的上面去,不能使用虚拟机交换机。
5.vDas本身只有镜像数据,在安全资源池的虚拟机详细中看到的会话数会显示为0。
6.vDas目前只是支持eth0为管理口,eth1为业务口。
第5章部署
5.1部署环境
l服务器支持
1、Agent支持以下linux发行版的64位操作系统和windos服务器
Centos5\6\7Redhat5\6\7
Ubuntu10\11\12\13\14Debian6\7
Windows2008r2Windows2012
2、das虚拟模板支持安全资源池环境
l软件清单
DAS2.0软件升级包
DAS2.0(20161206).ssu
vDAS2.0虚拟机模板
DAS2.0(20161206).vma
数据库审计Agent插件
Windows安装包
Das_Agent_windows_Build20161019.zip
数据库审计Agent插件Linux
安装包
Das_Agent_linux_Build20161102.zip
注意:
请做MD5校验,防止包损坏。
5.2部署上架
按步骤、分章节说明整个部署上架过程
6.2.1DAS设备部署
6.2.1.1实体机DAS设备升级部署
使用升级功能加载SSU包升级即可。
6.2.1.2虚拟机DAS设备升级部署
直接在安全资源池模板中部署vDAS组件即可。
6.2.2安装客户端Agent
6.2.2.1windowsAgent安装
解压压缩包,双击EXE直接运行即可完成安装。
6.2.2.2linuxAgent安装
Linux服务器,解压安装包上传agent_install.bin到服务器,在root帐户下运行
agent_install.bin脚本进行安装。
安装时指定绝对安装路径。
6.2.3配置DAS
6.2.3.1安全资源池DAS设备配置
登录DAS设备控制台,部署eth0为管理口,部署好网络模式。
在网口配置中配置eth1为业务口,并且配置好与Agent的通信IP。
DAS2.0.2版本以前:
编辑网络拓扑,单独新增空闲的一个物理出口。
将DAS
的eth2\eth3镜像口同时接入到上一步的物理出口上,做数据包回放。
DAS2.0.2(含2.0.2)版本以后:
正常配置管理口和业务口,不需要做镜像口配置,使用网口数字最大的网口做数据包回放。
6.2.3.2实体机DAS设备配置
登录DAS设备控制台,部署eth0为管理口,部署好网络模式。
DAS2.0.2版本以前:
将DAS的eth2\eth3镜像口接入到同一交换机,做数据包回放。
DAS2.0.2(含2.0.2)版本以后:
正常配置管理口和业务口,不需要做镜像口配置,使用网口数字最大的网口做数据包回放。
*如果环境中没有多余的IP地址用于配置业务口,则可以不需要业务口配置,直接使用管理口地址与Agent通信也是可以的。
6.2.4配置客户端Agent
6.2.4.1数据库与web服务器一体机场景
进入到安装目录,编辑config/das_agent.ini配置文件,指定DAS服务器地址。
重启客户端生效.(linux下执行./bin/eps_servicesrestart;windows下,执行安装目录下restart.bat)
6.2.4.2数据库是虚拟机环境场景
进入到安装目录,编辑config/das_agent.ini配置文件,指定DAS服务器地址、数据库通信使用的网口信息。
(linux下指定网口名称、windows下指定网口上的IP地址)
重启客户端生效.(linux下执行./bin/eps_servicesrestart;windows下,执行安装目录下restart.bat)
6.2.4.3Agent高级配置减轻网络流量压力场景
如果客户环境中流量过大,可以通过在配置文件中指定过滤条件来抓取特定的流量,以便减轻网络流量。
6.2.4配置审计策略
登录网关控制,配置好对应的业务系统和审计策略。
也可以直接使用默认审计策略。
5.3效果验证
一、使用客户端端工具连接数据库的效果演示
1.修改mysqlclient的配置文件内容,使用TCP连接数据库sudovim/etc/mysql/f
2.使用mysql命令连接数据库,执行mysql命令
3.在DAS控制台日志查询中可以看到,这个一个查询记录被完整记录下来,包括执行成功和执行失败的命令。
二、使用web服务器访问mysql的审计效果演示,我们知道很多时候访问数据库的行为都是通过web服务器进行的。
这里以一个开源工程phpMyAdmin+mysql
的结合场景来演示web控制台的操作记录。
1.访问web控制台进行数据库管理
2.新建一个数据库
3.新建一张表
4.进行插入操作,插入一些数据,然后在进程查询操作
然后退出,web控制台。
在DAS日志查询中,通过过滤条件查询test_new的操作记录
可以看到刚刚的操作日志过程记录,挑选刚刚的INSERT操作记录,查看回话。
追溯操作过程。
升级会员 