深信服数据库审计系统产品实施指南

1、深信服数据库审计系统 DAS产品实施指南目 录 HYPERLINK l _TOC_250008 第 1 章 说明4 HYPERLINK l _TOC_250007 第 2 章 概述4 HYPERLINK l _TOC_250006 第 3 章 支持/不支持的场景说明4 HYPERLINK l _TOC_250005 第 4 章 注意事项5 HYPERLINK l _TOC_250004 第 5 章 部署5 HYPERLINK l _TOC_250003 部署环境5l 服务器支持5l 软件清单6 HYPERLINK l _TOC_250002 部署上架6 HYPERLINK l _TOC_250

2、001 效果验证10第1章 说明此文档的目的，是为让产品自我运营，这里只说明运营和解决客户问题过程中的注意事项。 此文档的内容可以自由调整，达到目的和宗旨即可。第2章 概述l版本的主要目的数据库审计作为安全资源池解决方案部分，为了帮助客户做等保建设，保护客户数据安全。l解决如下问题1.解决数据库服务器与 web 服务器在同一台主机上时，无法将数据库的流量通过镜像交互机镜像到 DAS 上，现有的 DAS 审计方案无法实现审计功能2.解决数据库在虚拟机环境中，无法将数据库的流量通过镜像交互机镜像到DAS 上，现有的 DAS 审计方案无法实现审计功能。第3章 支持/不支持的场景说明功能不支持支持Ag

3、ent 审 计解决方案1.不支持 web 服务器与数据库之间不使用TCP 通信场景。（识别办法：通过 netstat 命令查看连接内容是否有数据库TCP 连接windows 下可以通过类似processhacker 工具 查 看 ） 2.Agent 插件审计方案不支持安全策略的拒绝功能。，支持数据库审计支持 web 审计vDas 虚拟机1.不支持安全资源池之外的虚拟机平台第4章 注意事项1.数据库Agent 抓包方案会对网口流量产生影响，网络中的流量负载会加倍， 使用过程中可以通过端口过滤掉非关键流量。2.预发布包还不支持老配置导入。3.在 Agent 功能开启前，已经建立的数据库连接，无法实

4、现审计功能，新的连接可以。4.在安全资源池中 vDas 使用 Agent 审计解决方案时，镜像口需要接到同一个物理出口的上面去，不能使用虚拟机交换机。vDas 本身只有镜像数据，在安全资源池的虚拟机详细中看到的会话数会显示为 0。vDas 目前只是支持 eth0 为管理口,eth1 为业务口。第5章 部署部署环境l 服务器支持1、Agent 支持以下 linux 发行版的 64 位操作系统和 windos 服务器Centos 567 Redhat 567Ubuntu1011121314 Debian67Windows 2008r2 Windows 20122、das 虚拟模板支持安全资源池环境

5、l 软件清单DAS2.0软件升级包DAS2.0 (20161206).ssuvDAS2.0虚拟机模板DAS2.0 (20161206).vma数据库审计 Agent 插件Windows 安装包Das_Agent_windows_Build20161019.zip数据库审计 Agent 插件 Linux安装包Das_Agent_linux_Build20161102.zip注意：请做 MD5 校验，防止包损坏。部署上架按步骤、分章节说明整个部署上架过程DAS 设备部署实体机 DAS 设备升级部署使用升级功能加载 SSU 包升级即可。虚拟机 DAS 设备升级部署直接在安全资源池模板中部署 vDAS

6、 组件即可。安装客户端 Agentwindows Agent 安装解压压缩包，双击 EXE 直接运行即可完成安装。linux Agent 安装Linux 服务器，解压安装包上传 agent_install.bin 到服务器，在 root 帐户下运行agent_install.bin 脚本进行安装。安装时指定绝对安装路径。配置 DAS安全资源池 DAS 设备配置登录 DAS 设备控制台，部署 eth0 为管理口，部署好网络模式。在网口配置中配置 eth1 为业务口，并且配置好与 Agent 的通信 IP。DAS2.0.2 版本以前：编辑网络拓扑，单独新增空闲的一个物理出口。将 DAS的 eth2

7、eth3 镜像口同时接入到上一步的物理出口上，做数据包回放。DAS2.0.2（含 2.0.2）版本以后:正常配置管理口和业务口，不需要做镜像口配置，使用网口数字最大的网口做数据包回放。实体机 DAS 设备配置登录 DAS 设备控制台，部署 eth0 为管理口，部署好网络模式。DAS2.0.2 版本以前：将 DAS 的 eth2eth3 镜像口接入到同一交换机，做数据包回放。DAS2.0.2（含 2.0.2）版本以后:正常配置管理口和业务口，不需要做镜像口配置，使用网口数字最大的网口做数据包回放。*如果环境中没有多余的 IP 地址用于配置业务口，则可以不需要业务口配置， 直接使用管理口地址与 A

8、gent 通信也是可以的。配置客户端 Agent数据库与 web 服务器一体机场景进入到安装目录，编辑 config/das_agent.ini 配置文件，指定 DAS 服务器地址。重启客户端生效.(linux 下执行./bin/eps_services restart;windows 下， 执行安装目录下 restart.bat)数据库是虚拟机环境场景进入到安装目录，编辑 config/das_agent.ini 配置文件，指定 DAS 服务器地址、数据库通信使用的网口信息。（linux 下指定网口名称、windows 下指定网口上的 IP 地址）重启客户端生效.(linux 下执行./bi

9、n/eps_services restart;windows 下， 执行安装目录下 restart.bat)Agent 高级配置减轻网络流量压力场景如果客户环境中流量过大，可以通过在配置文件中指定过滤条件来抓取特定的流量，以便减轻网络流量。6.2.4 配置审计策略登录网关控制，配置好对应的业务系统和审计策略。也可以直接使用默认审计策略。5.3 效果验证一、使用客户端端工具连接数据库的效果演示1.修改 mysql client 的配置文件内容，使用 TCP 连接数据库sudo vim/etc/mysql/f2.使用 mysql 命令连接数据库，执行 mysql 命令3.在 DAS 控制台日志查询中可以看到，这个一个查询记录被完整记录下来， 包括执行成功和执行失败的命令。二、使用 web 服务器访问 mysql 的审计效果演示，我们知道很多时候访问数据库的行为都是通过 web 服务器进行的。这里以一个开源工程 phpMyAdmin+mysql的结合场景来演示 web 控制台的操作记录。1.访问