AVDF1210安装配置手册

1、AVDF 12.1.0 安装及配置文档1AVDF安装及配置文档安装及配置文档Oracle 内部测试内部测试2013 年年 1 月月AVDF 12.1.0 安装及配置文档2AVDFAVDF安装及配置文档安装及配置文档目录1.AUDIT VAULT SERVER 和和 DATABASE FIREWALL 安装安装.41.1AVDF 概述.41.2AVDF 的安装.51.2.1软件下载.AVDF软件下载.OEL5.8_64bits软件下载.61.2.2Oracle DBFW

2、和Audit Vault Server安装前提.AVDF 部署案例（DBFW代理模式）.71.2.3安装AVDF .安装Database Firewall.安装Audit Vault Server.162.AVDF 的配置使用的配置使用.252.1DBFW 配置.252.1.1设定时间和日期.252.1.2配置网络服务.262.1.3更改键盘布局.282.1.4网络配置，添加代理端口.282.1.5配置Audit Vault服务器.292.2AUDIT VAULT SEVER 配置 .312.2.1设定时间、日期和键盘.312.2

3、.2设置网络服务.322.2.3注册防火墙.332.2.4添加受保护目标.332.2.5创建强制点(Enforcement Point).342.2.6更改防火墙策略.352.2.7注册目标主机及部署代理.3注册目标主机.3在受保护主机上下载代理.3在受保护主机上安装代理.3激活并启动代理.3在受保护主机上为监控审计创建数据库账户.3在受保护目标数据库上开启审计设置.40AVDF 12.1.0 安装及配置文档配置审计线索.40配置审计策略.4配置防火墙策

4、略.463.AVDF 报表测试报表测试.533.1审计报告.543.1.1活动报告.543.1.2预警报告.553.1.3授权报告.563.1.4存储过程审计报告.583.2相溶性报告.593.3专用报告.61AVDF 12.1.0 安装及配置文档4AVDFAVDF安装及配置文档安装及配置文档1.1. AuditAudit VaultVault ServerServer 和和 DatabaseDatabase FirewallFirewall 安装安装1.1 AVDF 概述概述本章节所有文本均基于 AVDF 版本，主要描述 Aud

5、it Vault Server 和 Oracle Database Firewall 的安装及配置使用。AVDF 架构图Oracle AVDF 提供了数据库的第一道安全防线，它可以整合来自数据库、操作系统、目录的审计数据进行监督控制。基于 SQL 语法的高度精确的技术，在网络中未授权的 SQL 语句到达数据库之前，数据库防火墙对其实施监视和阻断。Audit Vault 服务器结合从网络访问的数据库信息和详细的审计数据，轻松提供各种合规报告和告警，AVDF 可以很容易地定制，以满足企业的安全要求。AVDF 12.1.0 安装及配置文档51.2 AVDF 的安装的安

6、装1.2.1软件下载软件下载AVDF 软件下载软件下载下载页面：https:/， 选择 Product Pack: Oracle Database, Platform: Linux x86-86 点击 Oracle Audit Vault and Database Firewall 12.1.0 Media Pack for Linux x86-64，下载三个软件包： AVDF 12.1.0 安装及配置文档OEL5.8_64bits 软件下载软件下载下载页面：https:/ 选择 Product Pack：Oracle Linux, Platfor

7、m: x86 64 bit点击 Oracle Linux Release 5 Update 8 Media Pack for x86_64(64bit)，下载AVDF12.1.0 的安装平台必须是 OLE5.8(64bit)，DBFW Utilities 里面有 DDI、F5 BIG-IP ASM 集成相关的配置脚本。1.2.2Oracle DBFW 和和 Audit Vault Server 安装前提安装前提Oracle Enterprise Linux version 5.8(64bit)2GB 以上内存125GB 以上磁盘空间AVDF 12.1.0 安装及配置文档7网卡：Audit Va

8、ult Server 最少 1 块网卡Database Firewall： 代理模式：最少 1 块网卡 旁入监听模式：最少 2 块网卡 DPE 模式：最少 3 块网卡被 Agent 监控的主机要求 Java SE version AVDF 部署案例（部署案例（DBFW 代理模式）代理模式）以下是 AVDF 的一个简单部署方案。图中的三台虚机分别是：DB02被监控的数据库、DBFW 及AVServer。DBFW 采用代理模式监控数据库的网络活动，通过在 DB02 主机在部署 AV Agent 来监控 DB02 的操作系统、目录和数据库的信息。AVDF 部署案例1.2.3安装安装

9、AVDF安装安装 Database Firewall安装步骤如下：AVDF 12.1.0 安装及配置文档81. 首先设置 BIOS 从 CD-ROM 启动，reboot 机器2. 插入 V35716-01.iso(DBFW 安装介质)开始安装3.提示插入 Oracle Enterprise linux 盘4. 提示插入 Database Firewall 的安装盘：AVDF 12.1.0 安装及配置文档95. 提示输入安装密码：6. 提示再次输入安装密码:AVDF 12.1.0 安装及配置文档10提示安装密码设置成功： 7. 选择一个网卡作为管理控制口:AVDF

10、12.1.0 安装及配置文档118. 输入管理端口的 IP 地址：AVDF 12.1.0 安装及配置文档129. 将光标位于 Reboot,按 Enter 重启系统：10. DBFW 的运行界面：AVDF 12.1.0 安装及配置文档1311. 通过 https:/DBFW_IP 来访问 DBFW 的 WEB 界面： 12. 设置 DBFW 管理用户,root,和 support 用户的密码：AVDF 12.1.0 安装及配置文档14 点击保存之后，页面会自动跳转到 DBFW 管理用户的登陆界面：AVDF 12.1.0 安装及配置文档15 登录之后，进入 DBFW 的运行界面： AVDF 12

11、.1.0 安装及配置文档安装安装 Audit Vault Server步骤和安装 DBFW 基本一致，唯一的区别在于第 2 步和第 4 步插入的盘都是 V35715-01.iso(Audit Vault Server 安装介质)，其余步骤完全一致。安装步骤如下：1. 首先设置 BIOS 从 CD-ROM 启动，reboot 机器2. 插入 V35715-01.iso(Audit Vault Server 安装介质)开始安装AVDF 12.1.0 安装及配置文档173.提示插入 Oracle Enterprise linux 盘4. 提示插入 Audit Vault Serve

12、r 的安装盘：AVDF 12.1.0 安装及配置文档185. 提示输入安装密码：6. 提示再次输入安装密码:AVDF 12.1.0 安装及配置文档19提示安装密码设置成功： 7. 选择一个网卡作为管理控制口:AVDF 12.1.0 安装及配置文档208. 输入管理端口的 IP 地址：AVDF 12.1.0 安装及配置文档219. 将光标位于 Reboot,按 Enter 重启系统：10. Audit Vault Server 的运行界面：AVDF 12.1.0 安装及配置文档2211. 通过 https:/AVServer_IP 来访问 Audit Vault Server 的 WEB 界面：

13、 12. 设置 Audit Vault Server 的管理员用户,root,和 support 用户的密码：AVDF 12.1.0 安装及配置文档23 点击保存之后，页面会自动跳转到 Audit Vault Server 的登陆界面(avadmin 或者 avauditor用户)：AVDF 12.1.0 安装及配置文档24 登录之后，进入 Audit Vault Server 的运行界面： AVDF 12.1.0 安装及配置文档252.2. AVDFAVDF 的配置使用的配置使用2.1 DBFW 配置配置2.1.1设定时间和日期设定时间和日期1)登陆 DBFW Web 控制台: https:

14、/DBFW_IP2)在 System 页面中，选择日期和时间，点击右下角的更改：AVDF 12.1.0 安装及配置文档263)输入相应的日期和时间，点击保存：2.1.2配置网络服务配置网络服务1） 登陆 DBFW Web 控制台: https:/DBFW_IPAVDF 12.1.0 安装及配置文档272） 在 System 页面中，选择服务，点击右下角的更改：3） 将 Web 访问、SSH 访问、SNMP 访问设置为 all，点击保存：AVDF 12.1.0 安装及配置文档282.1.3更改键盘布局更改键盘布局1） 登陆 DBFW Web 控制台: https:/DBFW_IP2）点击键盘，选

15、择键盘布局 us，点击应用。2.1.4网络配置，添加代理端口网络配置，添加代理端口1)登陆 DBFW Web 控制台: https:/DBFW_IP2)在 System 页面中，点击网络：3)点击右下角的更改，在代理端口中输入 11521，选中已启用，点击添加：AVDF 12.1.0 安装及配置文档29点击右下角的保存，完成代理端口的添加：2.1.5配置配置 Audit Vault 服务器服务器4)登陆 DBFW Web 控制台: https:/DBFW_IP2） 点击 Audit Valut 服务器：AVDF 12.1.0 安装及配置文档303） 输入 Audit Vault 服务器 IP

16、地址，从 Audit Vault Server 的设置/证书处复制服务器证书，点击应用：AVDF 12.1.0 安装及配置文档312.2 Audit Vault Sever 配置配置2.2.1设定时间、日期和键盘设定时间、日期和键盘1） 使用管理员账户 avadmin，登陆 Audit Vault Server Web 控制台: https:/AVServer_IP2） 在设置 Tab 页面中，点击系统/管理：3） 设置相应的时间、日期，选择键盘布局，点击保存。AVDF 12.1.0 安装及配置文档322.2.2设置网络服务设置网络服务1) 使用管理员账户 avadmin，登陆 Audit V

17、ault Server Web 控制台: https:/AVServer_IP2）在设置 Tab 页面中，点击服务：3）将 SSH 访问、SNMP 访问都设置为“全部” ，点击保存：AVDF 12.1.0 安装及配置文档332.2.3注册防火墙注册防火墙1）使用管理员账户 avadmin，登陆 Audit Vault Server Web 控制台: https:/AVServer_IP2）在防火墙 Tab 页面中，点击注册：4） 输入名称及防火墙的 IP 地址，点击保存：确保在注册之前已向防火墙提供此系统的证书。2.2.4添加受保护目标添加受保护目标1） 使用管理员账户 avadmin，登陆

18、Audit Vault Server Web 控制台: https:/AVServer_IP2） 在受保护目标 Tab 页面中，点击目标/注册3） 添加相应的信息，注册受保护目标：参数说明： 新受保护目标名称：输入受保护目标的名称受保护目标位置：JDBC 连接串，例如jdbc:oracle:thin:/:1521/orclAVDF 12.1.0 安装及配置文档34 受保护目标类型：选择 Oracle Database 用户名：输入用于 URA,SPA 审计的用户名 添加受保护目标地址：输入 IP 地址、端口号、服务名之后，点击添加 最后点击保存(不加服务名!)2.2.5创

19、建强制点创建强制点(Enforcement Point)1）使用管理员账户 avadmin，登陆 Audit Vault Server Web 控制台: https:/AVServer_IP2） 在受保护目标 Tab 页面中，选择监视/强制点，点击创建：AVDF 12.1.0 安装及配置文档353）输入强制点名称、选择监视模式、要监控的受保护目标、选择防火墙及通信端口，点击保存：4）启动强制点：选择 ORCLEP，点击启动2.2.6更改防火墙策略更改防火墙策略1） 使用审计账户 avauditor，登陆 Audit Vault Server Web 控制台: https:/AVServer_I

20、P2） 在受保护目标 Tab 页面中，点击 orcl:AVDF 12.1.0 安装及配置文档363）点击防火墙策略，点击更改：4）选择相应的防火墙策略，例如 Log all，点击保存。AVDF 12.1.0 安装及配置文档372.2.7注册目标主机及部署代理注册目标主机及部署代理注册目标主机注册目标主机1） 使用审计账户 avadmin，登陆 Audit Vault Server Web 控制台: https:/AVServer_IP2）在主机 Tab 页面中，点击注册：3）输入主机名及主机 IP，点击保存：在受保护主机上下载代理在受保护主机上下载代理1） 使用 o

21、racle 用户登录 2（ORCLDB）2） 创建一个 avagent 目录：cd /u01/app/oracle/productmkdir avagent3） 在 avagent 目录下从 Audit Vault Server 上下载 avagent:cd /u01/app/oracle/product/avagentscp support1:/var/lib/oracle/dbfw/av/jlib/agent.jar .AVDF 12.1.0 安装及配置文档3在受保护主机上安装代理在受保护主机上安装代理1） 使用 oracle 用

22、户登录 2（ORCLDB）2） 进入 avagent 目录，安装代理： cd /u01/app/oracle/product/avagent java -jar agent.jar 3） 激活 avagent: cd /u01/app/oracle/product/avagent/bin ./agentctl activate 激活并启动代理激活并启动代理1）使用管理员账户 avadmin，登录 Audit Vault Server https:/AVServer_IP2） 在主机 Tab 页面中，选择主机，勾选相应的主机名，再点击激活： 激活后，代理激活状

23、态变为 Approved： 3） 在 ORCLDB（2）主机上，使用 oracle 账号启动代理：AVDF 12.1.0 安装及配置文档39 cd /u01/app/oracle/product/avagent ./agentctl start -k F1NS-UE8T-TWUV-MFIQ-SR1A (agentctl start k key，这里的 key 是上图中的代理激活密钥)4） 刷新 Audit Vault Server 页面，查看代理状态：在主机 Tab 页面中，选择主机，查看代理状态是否为 Running:在受保护主机上为监控审计创建数据库账户

24、在受保护主机上为监控审计创建数据库账户AVDF 需要在受保护主机上创建数据库账户，并赋予相应权限，才能做到：收集审计数据，管理审计策略，SPA，URA，及 DDI(数据加密 for Oracle)。1）使用 oracle 账户，进入受保护主机的avagent/av/plugins/com.oracle.av.plugin.oracle/config/目录 cd /u01/app/oracle/product/avagent/av/plugins/com.oracle.av.plugin.oracle/config/2） 创建数据库账户 avaudituser sqlplus / as sysd

25、ba SQL create user avaudituser identified by oracle;3） 运行下面的脚本：A)SQL oracle_user_setup.sql avaudituser setup; (为 avaudituser 赋予管理审计策略、从非Redo 日志中收集数据的权限)B) sqlplus / as sysdba oracle_user_setup.sql avaudituser REDO_COLL (为 avaudituser 赋予从Redo 日志中收集数据的权限)C) sqlplus / as sysdba oracle_user_setup.sql av

26、audituser SPA (SPA 权限)D)sqlplus / as sysdba oracle_user_setup.sql avaudituser ENTITLEMENT (URA 权限)4）在受保护目标 Tab 页面中，添加数据库用户名 avaudituser 及密码等信息，点击保存：（这步非常有必要，否则会导致后面的审计线索启动不了） AVDF 12.1.0 安装及配置文档40在受保护目标数据库上开启审计设置在受保护目标数据库上开启审计设置1）使用 oracle 用户登录 2（ORCLDB）2）查看数据库的 audit 参数：sqlplus /

27、as sysdbashow parameter audit4） 如果 audit_sys_operations 为 Fasle or audit_trail 不为 DB, EXTENDED，则： SQL alter system set audit_sys_operations=true scope=spfile; SQL alter system set audit_trail=DB, EXTENDED scope=spfile; SQL shutdown immediate; SQLstartup;配置审计线索配置审计线索1） 使用管理员账户 avadmin 登录 Audit

28、 Vault Server https:/AVServer_IP 2） 在受保护目标 Tab 页面中，选择审计线索，点击添加：AVDF 12.1.0 安装及配置文档413） 选择收集主机，受保护目标名称，审计线索类型为 TABLE，线索位置为 SYS.AUD$，点击保存。4）启动新添加的审计线索：4） 添加另一个审计线索：点击保存，并启动这个审计线索。5） 查看审计线索状态： AVDF 12.1.0 安装及配置文档4配置审计策略配置审计策略1） 使用审计账户 avauditor 登录 Audit Vault Server https:/AVServer_IP 2） 在策略 Ta

29、b 页面中，选择审计设置，选中受保护目标 orcl，点击检索审计设置：3） 在设置 Tab 页面中，选择系统/作业，可以看到检索审计设置是否完成：AVDF 12.1.0 安装及配置文档434）在策略 Tab 页面中，选择审计设置，可以看到当前的审计设置状态： 4） 点击 orcl，查看具体的审计设置：AVDF 12.1.0 安装及配置文档445） 点击 Object，可以看到正在使用的 Object 审计设置：点击右上角的创建：选择对象类型为 TABLE，对象 SH.COSTS(TABLE)，对象执行条件：两者（成功或失败） ，AVDF 12.1.0 安装及配置文档45DML 审计粒度：访问，

30、语句审计类型：ALTER,DELETE,INSERT,SELECT,UPDATE，点击保存。6） 在策略 Tab 页面，策略/审计设置中查看现在的审计设置： 7） 点击 Object，查看具体的对象审计设置：AVDF 12.1.0 安装及配置文档468） 选中新添加的 5 个 Object 规则，点击右上角的“设置为需要” ，然后选择 Object，点击导出/预配：AVDF 12.1.0 安装及配置文档47输入用户名 avaudituser 及密码，点击预配：9）完成之后，查看现在审计设置：配置防火墙策略配置防火墙策略1） 使用审计者账户 avauditor 登录 Audit V

31、ault Server https:/AVServer_IP 2） 在策略 Tab 页面中，选择策略/防火墙策略，点击创建策略：AVDF 12.1.0 安装及配置文档483）点击修改 SQL，针对 SQL 语句定义策略：4）选择某几条 SQL，点击右上角的设置策略：AVDF 12.1.0 安装及配置文档495）设置策略控制：操作 Warn,日记记录级别：始终，威胁严重性：中等，点击保存。6）可以在搜索框中输入过滤条件，比如 SQL 语句包含 DUAL，点击开始进行搜索:AVDF 12.1.0 安装及配置文档50显示只包含 DUAL 的 SQL: 选中这些 SQL，设置策略控制：7）设置默认规则

32、：点击 Default RuleAVDF 12.1.0 安装及配置文档51编辑默认策略，点击应用更改： 7）添加新规则：所有未见过的有关于 BONUS，EMP,EMPLOYEES 的 DDL,DCL,DML 语句都进行告警、每次都记录，威胁严重性为主要。AVDF 12.1.0 安装及配置文档528）在策略控制/设置里面设置登录失败告警、无效语句策略等设置： 30s 内连续 2 次登录失败，第三次将告警；针对无效的 SQL 语句进行告警：AVDF 12.1.0 安装及配置文档53 注意：登录失败告警及无效 SQL 告警设置要生效，必须先激活数据库响应。 （以管理账户avadmin 登陆 Audi

33、t Vault Server，在受保护目标 Tab 页面中，选择强制点/ORCLEP，启用数据库响应） 9）点击右上角的发布，新创建的策略就可以用于 DBFW 的监控了：10）应用新创建的策略进行 DBFW 监控：在受保护目标 Tab 页面中，选择目标 orcl，选择防火墙策略，点击更改：AVDF 12.1.0 安装及配置文档54选择新创建的策略，点击保存： DBFW 应用新的策略 test 进行监控：3.3. AVDFAVDF 报表测试报表测试下面主要看 AVDF 的几类内置报表：审计报告、相容性报告、及专用报告。 （需要审计者账户登录avauditor 登录 AVServer https:/AVServer_IP ）AVDF 12.1.0 安装及配置文档553.1 审计报告审计报告