数据库审计系统-防护系列用户使用手册

数据库审计系统.防护系列

用户使用手册

目录

前言...........................................................................4

概述....................................................................................4

期望读者................................................................................4

格式约定................................................................................4

1产品概述.....................................................................6

1.1产品简介............................................................................6

1.2名词解释............................................................................7

2登机操作.....................................................................8

2.1系统登录............................................................................8

2.2内置管理员..........................................................................8

3系统管理员...................................................................9

3.1防护对象............................................................................9

3.1.1防护概况.......................................................................9

3.1.2防护对象......................................................................12

3.1.3数据库发现.....................................................................17

3.2防护查询...........................................................................18

3.2.1语句查询......................................................................19

3.2.2会话查询......................................................................20

323规则命中.......................................................................21

3.3防护统计...........................................................................22

3.3.1权限阻断统计...................................................................23

3.3.2风险阻断统计..................................................................23

3.3.3风险审计统计..................................................................23

3.3.4会话统计......................................................................23

3.4防护报表...........................................................................24

3.4.1全库报表......................................................................24

3.4.2推送任务......................................................................26

3.5系统配置...........................................................................28

3.5.1应用插件配置...................................................................28

3.5.2IP名称管理....................................................................30

3.5.3防护引擎管理......................................................................31

3.5.4系统告警配置......................................................................31

3.5.5系统告警信息......................................................................32

3.6日志管理...............................................................................33

3.6.1系统日志..........................................................................33

3.7用户管理...............................................................................35

3.7.1用户管理..........................................................................35

3.7.2角色管理..........................................................................36

3.7.3组织管理..........................................................................37

3.7.4密码锁定管理......................................................................39

3.7.5分级管理..........................................................................39

3.8防护详情...............................................................................40

3.8.1概况..............................................................................41

3.8.2查询..............................................................................41

3.8.3统计..............................................................................41

3.8.4报表..............................................................................42

3.8.5规贝IJ.....................................................................................................................................................42

3.8.6告警..............................................................................50

4配置管理员..................................................................51

4.1系统管理...............................................................................51

4.1.1授权管理..........................................................................51

4.1.2组件..............................................................................52

4.1.3安全参数配置......................................................................53

4.1.4日志下载管理......................................................................59

4.1.5系统关机重启......................................................................59

4.1,6时钟同步配置......................................................................60

4.1.7防火墙网络配置....................................................................60

4.1.8系统升级..........................................................................63

4.1.9端口管理..........................................................................63

4.2数据管理...............................................................................64

4.2.1数据清理..........................................................................64

4.2.2数据备份..........................................................................65

423恢复出厂设置.......................................................................66

4.3系统监控...............................................................................67

4.3.1HA状态查看.......................................................................67

4.3.2系统状态监控......................................................................67

4.3.3网络流量监控......................................................................68

4.3.4进程监控..........................................................................68

4.3.5自动诊断..........................................................................68

5日志管理员..................................................................72

5.1日志管理................................................................................72

5.1.1系统日志..........................................................................72

6安装部署指南................................................................73

6.1串接方式................................................................................73

出厂参数......................................................................74

出厂配置....................................................................................74

初始管理员.................................................................................75

系统管理员初始帐号......................................................................75

配置管理员初始帐号......................................................................75

日志管理员初始帐号......................................................................75

刖百

概述

本文将覆盖数据库审计系统-防护系列（DatabaseAuditSystem-FireWaH,以下简称DAS-FW）的Web

管理界面的所有功能点，并详细介绍其使用方法。

本手册仅作为使用指导，实际产品可能会由于版本升级或其他原因，与手册描述有略微差异。

期望读者

期望了解本产品主要技术特性和使用方法的用户、安全管理员、数据库管理员等。本文假设您对下面

的知识有一定的了解：

•Linux和Windows操作系统

•数据库相关知识

格式约定

符号说明

粗体字菜单、命令和关键字

斜体字文档名、变量

对描述内容的补充和引用信息

说明

■

使用设备时的技巧和建议

提示

A需要特别注意的事项和重要信息

注意

符号说明

0有可能造成人身伤害的警告信息

警告

[XXX]按钮名称的表示方式

A>B菜单项选择的表示方式

产品概述

1.1产品简介

数据库审计系统一防护系列（简称DAS-FW）,是一款基于数据库协议分析与控制技术的数据库安全防

护系统。DAS-FW基于主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审计。DAS-FW

是一款集数据库IPS.IDS和审计功能为一体的综合安全产品。

DAS-FW通过SQL协议分析，根据预定义的禁止和许可策略让合法的SQL操作通过，阻断非法违规

操作，形成数据库的外围防御圈，实现SQL危险操作的主动预防、实时审计。

DAS-FW面对来自于外部的入侵行为，提供防SQL注入禁止和数据库虚拟补丁包功能；通过虚拟补丁

包，数据库系统不用升级、打补丁，即可完成对主要数据库漏洞的防控。

DAS-FW支持Oracle、SQLServer>DB2、MySQL等国际主流数据库产品。能够在不影响数据库原有

性能、无需应用进行改造的前提下，提供可靠数据库安全保护服务。

在审计报表方面，系统除了提供各种合规性格式报表以外，还提供报表自定义能力，用户可以根据自

身需求选择报表内容和形式创建自己所需报表；除了在线报表以外，系统还提供周期性报表，包括日报、

月报、周报、自定义周期报表等形式，基于系统性能、风险统计、会话分析、语句分析等多个维度提供统

计性报表进行分析，并支持定期推送功能。

1.2名词解释

展板：主要是展示当前系统全库和单库的状态、阻断拦截、审计风险、规则类别等统计内容。

规则：即系统中各项安全策略，包括访问权限规则、风险控制规则。

访问模式：访问权限规则中，包含“禁止”、“允许”两种访问模式。"禁止''模式下，在规则有效时间内，

禁止对满足规则条件的数据库对象进行操作：其他时间，可以对所有数据库对象进行操作。“允许”模式下，

在规则有效时间内，只允许满足规则条件的数据库对象进行操作；其他时间，禁止对所有数据库对象进行

操作。

阻断日志记录：选择“是"，则输出规则的阻断日志记录。

语句拦截：客户端访问数据库的过程中，对命中规则的某一语句或操作进行拦截，不影响会话连接的

使用。

会话阻断：客户端访问数据库的过程中，对命中规则的某一语句或操作进行拦截，直接断开会话连接,

客户端需要重新创建会话才能继续使用。

引擎动作：包含“放行”、“审计”、“阻断”。

放行：防护引擎通过设置引擎动作为“放行’’的规则，对接收到的数据进行筛选，满足放行条件的数据

一律放行，不再进行审计和阻断。

审计：防护引擎通过设置引擎动作为“审计的规则，对接收到的数据进行筛选，满足审计条件的数据,

进行审计输出，一般会标记为高、中、低、可信风险。

阻断：防护引擎通过设置引擎动作为“阻断’’的规则，对接收到的数据进行筛选，满足阻断条件的数据,

一律阻断，标记为高风险。

登机操作

2.1系统登录

在需要操作DAS-FW的机器（称为客户机）上打开浏览器，在地址栏内输入DAS-FW的访问地址，

系统默认访问地址：：8443,进入系统登录页

注意：

令确认客户端主机可以和DAS-FW正常通讯（如果通过防火墙,请将8443端口打开）。

令浏览器支持:Chrome和Firefox。Chrome版本建议为64及以上,Firefox版本建议为60及以上。

不推荐使用IE浏览器,以免出现未知问题。

令屏幕分辨率:最佳为1680*1050,最低分辨率支持1366*768

2.2内置管理员

系统内置三种系统角色账号（用户也可灵活自定义角色并任意分配角色的菜单功能），缺省密码都是

Admin@123,可参考该手册末尾出厂参数。初始管理员章节。具体如下：

sysAdmin：系统管理员。负责DAS-FW系统引擎配置、规则下发、数据展现、报表统计等业务功能。

confAdmin：配置管理员。不针对具体的业务功能，可对DAS-FW系统进行配置维护，如授权管理，

时钟同步，防火墙网络配置等系统功能。

logAdmin：日志管理员。查看DAS-FW系统本身审计日志。

系统管理员

3.1防护对象

3.1.1防护概况

系统管理员登录系统后默认展示的页面是欢迎使用，点击左侧防护概况，防护概况展示的内容包括3

部分：时间查询区域，文字展示区域和图形展示区域。如下图：

680-1050

1.时间查询区域包含：最近30分钟，最近2小时•，最近12小时，今天，昨天，本周，上周，本月，

上月。可根据查询需求选择不同的时间进行查询。根据不同时间范围进行查询，图形的统计粒度也随之不

同。

330^最时I最近124的][±^||±F|

2.文字展示区域包含：防护时长，数据库实例，阻断总数，审计总数，今日阻断总数，今日审计总数。

数据库实例：阻断总数：宙计总数：84今日阻断总数：今日宙计总数：0

(1)防护时长：显示系统的防护时间，统计本系统自开始防护至今的总时长。

(2)数据库实例：防护的数据库实例数量。

(3)阻断总数：显示并统计防护到的所有数据库阻断总量。

(4)审计总数：显示并统计防护到的所有数据库审计总量。

(5)今日阻断总数：显示并统计截止访问时间当日的阻断总量。

(6)今日审计总数：显示并统计截止访问时间当日的审计总量。

3.图形展示区域包含：防护对象阻断量，防护对象网络拓扑，规则类别中标，阻断拦截趋势，阻断拦

截占比，审计风险趋势，审计风险占比。

(1)防护对象阻断量：以饼状图展示所防护数据库的阻断量及在所有阻断量中的该数据库阻断量

的占比数。将鼠标放置与对应数据库的饼图区域，显示具体的数据库阻断量及数量占有比率。

防护对象阻断星

(2)防护对象网络拓扑：以关联图形的形式展示在统计时间段内防护设备、防护的数据库、客户

端IP的访问关联关系。鼠标移动至圆点位置显示防护设备、数据库、客户端IP信息，鼠标移动至连线位

置显示审计圆点设备间的关系。

防护设备网络拓扑

•防护设备数据库•客户话IP

数据库防火墙:mysql8.61

（3）规则类别中标：按照用户权限、终端权限、登录规则、行数规则、操作规则、语句规则、注

入规则、漏洞规则，8种规则类别，以语句拦截、会话阻断维度，柱状图的形式展现统计结果。

规则哭别中标

■港句拦羲会否至野

（4）阻断拦截趋势：展示统计周期内不同时间点会话阻断、语句拦截的分布情况。鼠标移动至某

一时间节点，显示出该时刻阻断行为的统计数量

阻断拦截趋势会造阻新

2019-05-05

会话租断：0

必9嗔那，N舞

（5）阻断拦截占比：以饼状图的形式展示会话阻断、语句拦截的比例。鼠标移动至不同颜色区域,

显示相应阻断行为的数量和在总数量中的占比数。

阻断拦截占比

（6）审计风险趋势：展示统计周期内不同风险级别的分布情况。鼠标移动至时间节点，显示该时

间节点上不同风险级别的访问数量。

市计风险趋势2019-04-3018

-A-高

^J^：0

中风险：36

低风险：48

(7)审计风险占比：以饼状图的形式直观展示不同风险级别的数量在整体风险总量的占比，鼠标

移动至饼状图对应区域显示该风险级别的数量和占比的详细信息。

市计风险占比

:48(5714%)

3.1.2防护对象

防护对象是针对当前DAS-FW系统所有数据库实例的汇总展示，页面默认显示全部数据库信息，可以

一览当前数据库审计全貌。页面分为上下两部分，上半部分以列表形式显示已添加的数据库详细配置信息,

下半部分，点击“全部对象统计”，显示各个数据库的审计信息，包括：当前活跃会话、当前语句压力；今

天阻断总量、今天审计总量；全部阻断总量、全部审计总量。

、•躬显示-新增，海城W,启用/停用,查询全部记象统计

字号数妄*名J3SE*类型致g版:字若集接作亲统含用状态5tt振*地址自逮为同修改时间同卡坦名病述搔作

1sal9erver8.63SQLServer2005UTF8未使用13用3:14332019-(M-3016:07:02019-04-3016:07:0闷铀T127.0.0.1)防详情

211Oracle0TF8未使用月用00:33062019-04-3015:16:42019-04-3015:16:4^<§-(127.0.0.1)防手详情

3口db28.61DB28.1UTF8未使用启用1:50000/SAMPIE2019-04-3014:34:42019-04-3014:47:1网卡遍一(127.0.CU)■详情

4二|mysql8.61MySql5.0UTF8启用1:33062019-04-3014:37:02019-04-3014:37:0()

10JIH第1共以o显示1SH,刘记录

sqlserver8.6311db28.61mysql8.61

当前（当前5分的）当前（当安5算仲）当瓶当蓟5分Q）当前（当研分粒）

活跃会话m活跃会看的活跋会话。个活班会话冲

的皿OS/s谙句压力Oft/si的口Oft/s峭S

被今天林小

阻断E叁族坦斯W5。条SSr.efi。条组踪总量(X

市计MOjR审计总量。条市计.19星。釜审计闩量os

淑潮翎钿

阻断总员697条ESBrSS原阻断总归。条里豌总总5肇

市计一733条审计.3量0ft市计2S21条审计2量32S

防护对象包含如下菜单功能：【列显示】、【新增】、【编辑】、【删除】、【启用】、【停用】、

【查询】和【全部对象统计】。

A【列显示】功能

可以通过【列显示】下拉菜单选择需要显示和隐藏的参数项，如数据库名、数据库类型、数据库版本、

字符集、操作系统、启用状态、数据库地址、创建时间、修改时间、网卡组名、描述、操作。参数项与列

表显示对应关系如下图。

/自用/停用Q委询Q全部每彖统计

序号0S3KS2星岑堤芟；》据耳版M字行鬃垠作系统居里状态欢宏寄吟至的闾修改打间网卡追名随城作

1/S3?S电tserver2005UTF8未使用启用192,168.8.63:14332019-04-3016:07:032019-04-3016:07:03网卡殂一(127.0Q.1)防饱*脩

2V初&军版本>KteUTF8耒通用启用00:33062019-04-3015:16:422019-04-3015:16:42同卡超一()防拴/街

匚字符集

33DB28.1UTF8未使用启用1:50000/SAMPt£2019-04-3014:34:452019-04-3014:47:13网卡殂一()&J护伊倩

4S雯性系统

gql5.0UTF8未使用启用192,168.8.61:33062019-M-3014:37:022019-M-3014:37:02网卡追一｛127.0Q.1)防抖工惰

M启用状至

0S®£侬t

S创酎拇

0修改9瓶

S网谡名

【列显示】功能在每个功能模块中都存在，以下章节中不再进行提及，所有功能都大同小异。

＞【新增】功能

本系统新增数据库有两种操作方式：手动添加和智能识别（数据库发现）。当前新增功能是手动添加

数据库操作。数据智能识别功能参见3.1.3节（数据库发现）。

基于【新增】操作，可以为DAS-FW系统添加被防护数据库。点击【新增】按钮，如图:

需要注意：

（1）*号标记的数据库名、数据库类型、数据库版本、字符集、操作系统、代理类型、网卡组/代理

组、旧、端口为必填项。

（2）数据库名只能为中文、英文、数字、空格与部分符号的组合

（3）IP地址符合IPV4或者IPV6地址规范

（4）端口号为0到65535之间的整数，只有Oracle低版本（及以下版本）可以设置动态端

口。

（5）新增页面提供一个获取数据库版本号功能，点击“自动获取”，填写正确的信息，点击【保存】

按钮，即可获取到正确的版本号。

填写完所有必填项后点击【保存】按钮稍等片刻弹出操作成功页面，点击【确认】后数据库信息添加

完成。在数据库添加完成后，DAS-FW根据数据库类型、版本，添加默认的对象、规则信息。

＞【编辑】功能

数据库列表中选择一条记录，点击【编辑】按钮，即可进行数据库的编辑。编辑数据库功能和新增功

能基本一致，唯一的区别是编辑数据库的时候，数据库类型无法进行编辑。

编统数据库Q

＞【删除】功能

数据库列表中选择一条记录，点击【删除】按钮，即可进行数据库的删除。为了避免误操作，删除操

作每次只能针对一个数据库，不能批量删除。删除某个数据库后，该数据库对应的防护记录也会一并进行

删除。

＞【启用】和【停用】数据防护状态

基于数据库列表，勾选一条数据库记录，点击【启用】或者【停用】按钮可更改当前数据库的防护状

态。处于“启用”状态的数据库是当前系统正在防护的数据库；处于“停用”状态的数据库是不被系统监

控防护的，“停用”状态的数据库中的防护记录不会被删除。

|、列的_卜新军/翁击—、全笄?:余娩计

55或百名致彦"理S5齿型5N字三要堪作系统后再状态址至制间河卡至名JS*谡作

信用］

□solse,ver8.63SQiSefY€<2005UTF83:14332019-04-3016:07:032019-04-3016:07:03网卡jg-()防拴USS

□11OracleUTF800:13062019-CM-3015:16:422019-04-3015:16:42网卡iST)防楂*情

言用］

db28.61DB28.1inra未使用1:50000/SAMPLE2019-04-3014:34:452019-04-3014:47:13网卡组一()防株逐情

0回

□mysql8.61MySql5.0UTF81:33062019-04-3014:37:022019-04-3014:37:02网卡殂一(127QQ.1)恸江倩

＞【查询】功能

为了方便数据库防护对象的管理，可以根据查询功能快速找到需要查看的数据库防护对象。点击【查

询】按钮，弹出查询操作对话框，查询条件为：数据库名称、数据库类型、数据库版本、操作系统、启用

状态、实例名、IP地址。

3.1.3数据库发现

数据库发现功能是指在设定的时间内持续发现流量中包含的数据库信息并记录到数据库列表中，对于

已经存在于防护对象中的数据库则不进行记录。

数据库发现包含如下菜单功能：【显示已忽略数据库列表】、【运行任务】、【结束任务】、【删除】

和【查询】•

＞【运行任务】功能

点击【运行任务】下拉菜单，选择任务时长即可启动数据库自动发现功能。任务时长可以选择30分钟，

3小时，6小时，12小时。

运行任务▼结束田

运行3冽钟

运行3小时

运行6小时

运行12小时

通过运行一段时间的数据库发现任务，可以识别到流量中的存在的数据库，此时可以进行“添加”或

“忽略”操作。

•'歹逗示.砺列表运行任务▼结束任务抠除查海发现救据车任务遂行中…ititas同我201%0%0721:37:20

致哀完美型数茹IP实例名发现时间损作

1MySql6:3306