• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

数据库安全审计

2021-05-19提问
  • 0关注
  • 1收藏,1483浏览
小蒋 零段
粉丝:1人 关注:6人

问题描述:

安全审计和数据库在同一局域网下,我应该怎么去配置安全审计从而达到审计数据库的要求。

最佳答案

粉丝:4人 关注:0人

安全审计把能审计的都审计下

2 个回答
已采纳
粉丝:96人 关注:1人

将数据库的流量镜像给数据库审计就可以了。


如果不在一个局域网之内 可以使用探针


流量探针部署举例(E6204及其以前版本)

8.1  应用需求

对于云环境或者服务器内部报文交互等交换无法镜像流量的情况,采用旁路镜像方式就无法进行数据库服务器的审计,为了应对这种旁路镜像无法审计的情况,我们就可以采用在数据库服务器上安装流量探针的部署方式进行审计。

8.2  配置注意事项

·               Linux64安装包理论上支持Linux 2.6.32 及以上内核版本的Linux系统,例如Centos6 X64Linux32位安装包理论上支持Linux 2.6.24 及以上内核版本的Linux系统,例如Ubuntu 14.04X86

·              Windows版安装包兼容32位与64位系统,理论上Windows用户版支持Windows 7及以上操作系统,与Windows服务器版支持Windows Server 2008及以上操作系统。

·              服务器上安装流量探针会占用一定的内存和硬盘空间,请合理安排。

·              流量探针功能暂时只支持在IPv4环境下使用。

8.3  使用版本

本举例是在H3C i-Ware Software, Version 3.10, ESS 6204P07版本上进行配置和验证的。

8.4  举例场景说明

客户端(101.1.12.2):

用于访问数据库审计系统管理界面,进行数据库审计系统的相关配置。

数据库审计系统:

管理口IP183.1.10.52):被访问的,实现数据库审计系统的管理。

业务口IP22.1.1.61):用于与数据库服务器的通信IP进行通信,接收流量探针转发的流量。

数据库服务器:

服务器使用的网卡(183.1.0.18):数据库服务器的连接IP,所有连接数据库的流量要经过此网卡,流量探针转发此网卡的流量。

通信网卡(22.1.1.60):服务器上流量探针与数据库审计系统通信的网卡,被转发网卡的流量从此网卡发向数据库审计系统的业务口。

8.5  配置步骤

8.5.1  流量探针的配置

1. 下载流量探针安装包

打开浏览器,访问数据库审计设备的登录页面,鼠标移至登录页面的右上角,在展开的下拉项中,选择流量探针客户端,即可下载流量探针安装包。

图43 下载流量探针客户端界面

 

解压后,分为LinuxWindows两个文件夹,其中Windows文件夹中的flowagent.exeWindows流量探针安装包,Linux文件夹中的flowagent.tar.gzflowagent_32.tar.gzLinux流量探针安装包。

图44 流量探针客户端安装包

2. Linux系统客户端安装

使用远程工具,如Xshell工具,设置连接参数,输入用户名、密码,连接用户数据库服务器。

图45 连接Linux服务器

 

 

连接上数据库服务器后,将下载好的流量探针flowagent.tar.gz (如果系统版本为32位,则使用flowagent_32.tar.gz)文件通过文件传输工具Xftp上传到用户许可的文件夹。例如,上传到根目录下的mnt/disk文件夹, 使用命令(cd /路径名,如“cd /mnt/disk”)进入该文件夹后,接着使用解压命令“tar -zxvf flowagent.tar.gz”,解压flowagent.tar.gz文件。

备注:可使用“getconf LONG_BIT ”命令查看Linux系统是64位还是32位。

图46 解压安装包

 

 

进入解压后的flowt文件夹,输入安装命令“sh setup.sh”,回车后完成安装。

图47 完成安装界面

 

 

3. Linux系统的配置

输入测试命令“cd /mnt/flowt”,回车,继续输入命令“ ./flowagent -i eth0,eth1 -s eth2 -h 10.5.8.202”

注:

eth0eth1eth210.5.8.202根据实际环境填写。

eth0:数据库服务器上流量需被转发的网卡名。

eth1:数据库服务器上流量需被转发的网卡名。

eth2:数据库服务器上通信IP所在的网卡名。

10.5.8.202:数据库审计设备上接收转发流量的网卡IP

运行测试命令后,确认流量探针是否正常运行,如果打印“LoginResult >>> OK”则运行成功,

使用组合键“Ctrl+C”退出,流量探针客户端会自动重新启动,并按照已通过的参数运行。

4. Windows系统客户端安装

(1)      双击npcap-0.992.exe文件,根据提示安装npcap

图48 Npcap安装界面

 

 

(2)      点击“I Agree”,进入下一步,勾选下图选项后,点击“Install”安装;

图49  Npcap安装选项界面

 

(3)      双击flowagent.exe文件,根据提示安装客户端。

图50 流量探针安装界面

5. Windows系统的配置

(1)      填写数据库审计设备管理接收转发流量的网卡IP

(2)      选择数据库服务器通信网卡/IP (数据库服务器上通信网卡IP,一般情况下为本机的IP)

(3)      勾选是否需开机启动;

(4)      勾选数据库服务器需要转发流量的网卡,使用鼠标双击备注区域,可对该网卡进行备注。网卡描述中带有“loopback”字样的网卡为本地回环网卡,部分操作系统安装好后会出现两个或者多个本地回环网卡,如需监听本地回环数据,必须将带有“loopback”字样的网卡都勾选转发。如下图中带有“loopback”字样的网卡12必须都勾选后,才可正常监听本地回环数据。如果只是监听本地网卡(不需要回环数据),只需勾选对应的网卡即可;

(5)      点击“保存”按钮,保存配置。

如下图所示:

图51 流量探针配置页面

 

 

8.5.2  数据库审计配置

1. 面板模式下设置业务口

使用“admin/admin”账户登录数据库审计系统,打开“系统管理à网络配置à面板模式”界面,鼠标选择业务口,在出现的悬浮窗上点击“设置/修改IP”按钮。

图52 面板模式下“设置/修改IP”按钮

 

 

填写业务口IP和掩码。

图53 填写业务口IP

 

注:业务口无法设置网关,配置的IP需与服务器的通信IP三层通信,需配置静态路由

面板模式和表格模式下任选一种方式修改业务口IP即可。

点击“配置生效”按钮,使得配置业务口IP生效。

图54 表格模式下的配置生效

 

 

2. 表格模式下配置业务口IP

使用“admin/admin”账户登录数据库审计系统,打开“系统管理à网络配置à表格模式”界面,选择业务口,右击鼠标后点击“设置/修改IP”按钮。

图55 表格模式下“设置/修改IP”按钮

 

填写业务口IP和掩码。

图56 填写业务口IP

 

注:业务口无法设置网关,配置的IP需与服务器的通信IP三层通信时,需配置静态路由。

面板模式和表格模式下任选一种方式修改业务口IP即可。

点击配置生效按钮,使得配置业务口IP生效。

图57 表格模式下的配置生效

 

3. 配置流量探针的通信IP

图58 数据库审计系统上流量探针配置

 

4. 配置监听业务系统配置

具体配置方法与3.4.2节配置方法相同,请参考此小节,配置需要审计的数据库服务器IP

8.6  验证配置

客户端访问数据库服务器,使用“sec/sec”账户登录数据库审计系统,打开“审计中心à语句查询à实时查询”页面,能够查询到客户端访问数据库服务器的SQL语句记录。

图59 审计记录

感谢

小蒋 发表时间:2021-05-19 更多>>

感谢

小蒋 发表时间:2021-05-19
粉丝:138人 关注:6人

您好,请知:

把涉及到安全审计内容都审计看下。

以下是数据库审计设备的用户手册,请参考:

https://www.h3c.com/cn/Service/Document_Software/Document_Center/IP_Security/AQSJXT/H3C_SecPath_D2000-G/?CHID=291076 

 

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明