AVDF1210安装及配置文档

AVDF12.1.0安装及配置文档 10AVDF12.1.0.0安装及配置文档Oracle内部测试20231月AVDF12.1.0.0安装及配置文档名目\l“_TOC_250041“AUDITVAULTSERVER和DATABASEFIREWALL安装 4\l“_TOC_250040“1.1 AVDF12.1.0.0概述 4\l“_TOC_250039“1.2 AVDF12.1.0.0的安装 5\l“_TOC_250038“软件下载 5\l“_TOC_250037“1.2.1.1 AVDF12.1.0.0软件下载 5\l“_TOC_250036“1.2.1.2 OEL5.8_64bits软件下载 6\l“_TOC_250035“OracleDBFW和AuditVaultServer安装前提 6\l“_TOC_250034“AVDF部署案例〔DBFW代理模式〕 7\l“_TOC_250033“1.2.3 安装AVDF12.1.0.0 7\l“_TOC_250032“安装DatabaseFirewall 7安装AuditVaultServer 16\l“_TOC_250031“AVDF的配置使用 25\l“_TOC_250030“DBFW配置 25\l“_TOC_250029“设定时间和日期 25\l“_TOC_250028“配置网络效劳 26\l“_TOC_250027“更改键盘布局 28\l“_TOC_250026“网络配置，添加代理端28\l“_TOC_250025“配置AuditVault效劳器 29\l“_TOC_250024“AUDITVAULTSEVER配置 31\l“_TOC_250023“设定时间、日期和键31\l“_TOC_250022“设置网络效劳 32\l“_TOC_250021“注册防火墙 33\l“_TOC_250020“添加受保护目标 33\l“_TOC_250019“创立强制(EnforcementPoint) 34\l“_TOC_250018“更改防火墙策略 35\l“_TOC_250017“注册目标主机及部署代37\l“_TOC_250016“注册目标主机 37\l“_TOC_250015“在受保护主机上下载代37\l“_TOC_250014“在受保护主机上安装代38\l“_TOC_250013“激活并启动代理 38\l“_TOC_250012“在受保护主机上为监控审计创立数据库账39\l“_TOC_250011“在受保护目标数据库上开启审计设40\l“_TOC_250010“配置审计线索 40\l“_TOC_250009“配置审计策略 42\l“_TOC_250008“配置防火墙策略 47\l“_TOC_250007“AVDF报表测试 54\l“_TOC_250006“审计报告 55\l“_TOC_250005“活动报告 55\l“_TOC_250004“预警报告 56\l“_TOC_250003“授权报告 57\l“_TOC_250002“存储过程审计报告 59\l“_TOC_250001“相溶性报告 60\l“_TOC_250000“专用报告 62AVDF12.1.0.0安装及配置文档1.AuditVaultServer和DatabaseFirewall1.1AVDF12.1.0.0概述本章节全部文本均基于AVDF12.1.0.0AuditVaultServerOracleDatabaseFirewallAVDF12.1.0.0架构图OracleAVDFSQLSQL语句到达数据库之前，数据库防火墙对其实施监视和阻断。AuditVault数据，轻松供给各种合规报告和告警，AVDF1.2AVDF12.1.0.0的安装软件下载AVDF12.1.0.0软件下载下载页面：s://edelivery.oracle，选择ProductPack:OracleDatabase,Platform:Linuxx86-86点击OracleAuditVaultandDatabaseFirewall12.1.0MediaPackforLinuxx86-64，下载三个软件包：OEL5.8_64bits软件下载下载页面：s://edelivery.oracle/linux，选择ProductPack：OracleLinux,Platform:x8664bit点击OracleLinuxRelease5Update8MediaPackforx86_64(64bit)，下载AVDF12.1.0的安装平台必需是OLE5.8(64bit)，DBFWUtilities里面有DDI、F5BIG-IPASM集成相关的配置脚本。OracleDBFWAuditVaultServer安装前提OracleEnterpriseLinuxversion5.8(64bit)2GB以上内存125GB以上磁盘空间网卡：AuditVaultServer1块网卡DatabaseFirewall：1块网卡2块网卡DPE3块网卡AgentJavaSEversion6AVDF部署案例〔DBFW代理模式〕以下是AVDFDB02—被监控的数据库、DBFW及AVServer。DBFW承受代理模式监控数据库的网络活动，通过在DB02AVAgent来监控DB02的操作系统、名目和数据库的信息。AVDF1.2.3 AVDF12.1.0.0DatabaseFirewall安装步骤如下：首先设置BIOSCD-ROMrebootV35716-01.iso(DBFWOracleEnterpriselinux盘提示插入DatabaseFirewall提示输入安装密码：提示再次输入安装密码:提示安装密码设置成功：选择一个网卡作为治理把握口:输入治理端口的IP将光标位于RebootEnterDBFW通过s://DBFW_IPDBFWWEB设置DBFW,rootsupport点击保存之后，页面会自动跳转到DBFW治理用户的登陆界面：登录之后，进入DBFW的运行界面：AuditVaultServer步骤和安装DBFW24V35715-01.iso(AuditVaultServer，其余步骤完全全都。安装步骤如下：首先设置BIOSCD-ROMrebootV35715-01.iso(AuditVaultServerOracleEnterpriselinux盘提示插入AuditVaultServer提示输入安装密码：提示再次输入安装密码:提示安装密码设置成功：选择一个网卡作为治理把握口:输入治理端口的IP将光标位于RebootEnterAuditVaultServer通过s://AVServer_IPAuditVaultServerWEB设置AuditVaultServer,root,和supportAuditVaultServer的登陆界面(avadmin或者avauditor用户)：登录之后，进入AuditVaultServerAVDFDBFW配置设定时间和日期登陆DBFWWeb把握台:s://DBFW_IPSystem页面中，选择日期和时间，点击右下角的更改：输入相应的日期和时间，点击保存：配置网络效劳登陆DBFWWeb把握台:s://DBFW_IPSystem页面中，选择效劳，点击右下角的更改：Web访问、SSH访问、SNMP访问设置为all，点击保存：更改键盘布局登陆DBFWWeb把握台:s://DBFW_IP点击键盘，选择键盘布局us，点击应用。网络配置，添加代理端口登陆DBFWWeb把握台:s://DBFW_IPSystem页面中，点击网络：点击右下角的更改，在代理端口中输入11521，选中已启用，点击添加：点击右下角的保存，完成代理端口的添加：AuditVault效劳器登陆DBFWWeb把握台:s://DBFW_IP2〕AuditValut效劳器：输入AuditVault效劳器IPAuditVaultServer的设置/AuditVaultSever配置设定时间、日期和键盘1〕使用治理员账户avadmin，登陆AuditVaultServerWeb把握台:s://AVServer_IP2〕设置Tab页面中，点击系统/治理：3〕设置网络效劳1)使用治理员账户avadmin，登陆AuditVaultServerWeb把握台:s://AVServer_IP2〕在设置Tab页面中，点击效劳：3〕将SSHSNMP访问都设置为“全部 AVDF12.1.0安装及配置文档 33注册防火墙1〕使用治理员账户avadmin，登陆AuditVaultServerWeb把握台:s://AVServer_IP2〕在防火墙Tab页面中，点击注册：4〕IP地址，点击保存：确保在注册之前已向防火墙供给此系统的证书。添加受保护目标1〕使用治理员账户avadmin，登陆AuditVaultServerWeb把握台:s://AVServer_IP2〕在受保护目标Tab页面中，点击目标/注册3〕添加相应的信息，注册受保护目标：参数说明：受保护目标名称：输入受保护目标的名称受保护目标位置：JDBC连接串，例如jdbc:oracle:thin:@//192.168.0.2:1521/orcl受保护目标类型： 选择OracleDatabase用户名：输入用于URA,SPA审计的用户名地址、端口号、效劳名之后，点击添加最终点击保存(不加效劳名!!!)创立强制点(EnforcementPoint)1〕使用治理员账户avadmin，登陆AuditVaultServerWeb把握台:s://AVServer_IP2〕在受保护目标Tab页面中，选择监视/强制点，点击创立：输入强制点名称、选择监视模式、要监控的受保护目标、选择防火墙及通信端口，点击保存：启动强制点：选择ORCLEP，点击启动更改防火墙策略1〕使用审计账户avauditor，登陆AuditVaultServerWeb把握台:s://AVServer_IP2〕Tab页面中，点击orcl:点击防火墙策略，点击更改：选择相应的防火墙策略，例如Logall，点击保存。注册目标主机及部署代理注册目标主机1〕avadmin，登陆AuditVaultServerWeb把握台:s://AVServer_IP2〕在主机Tab页面中，点击注册：3〕输入主机名及主机IP，点击保存：在受保护主机上下载代理1〕oracle192.168.0.12〔ORCLDB〕2〕avagent名目：cd/u01/app/oracle/productmkdiravagent3〕avagent名目下从AuditVaultServer上下载avagent:cd/u01/app/oracle/product/avagentscpsupport@192.168.0.11:/var/lib/oracle/dbfw/av/jlib/agent.jar.在受保护主机上安装代理1〕oracle192.168.0.12〔ORCLDB〕2〕avagent名目，安装代理：cd/u01/app/oracle/product/avagentjava-jaragent.jar3〕avagent:cd/u01/app/oracle/product/avagent/bin./agentctlactivate激活并启动代理1〕使用治理员账户avadmin，登录AuditVaultServers://AVServer_IP2〕在主机Tab页面中，选择主机，勾选相应的主机名，再点击激活：激活后，代理激活状态变为Approved：ORCLDB〔192.168.0.12〕主机上，使用oracle账号启动代理：cd/u01/app/oracle/product/avagent./agentctlstart-kF1NS-UE8T-TWUV-MFIQ-SR1A(agentctlstarkkekey理激活密钥)刷AuditVaultServer页面，查看代理状态：在主机Tab页面中，选择主机，查看代理状态是否为Running:在受保护主机上为监控审计创立数据库账户AVDF需要在受保护主机上创立数据库账户，并赐予相应权限，才能做到：收集审计数据，治理审计策略，SPA，URADDI(数据加密forOracle)。avagent/av/plugins/com.oracle.av.plugin.oracle/config/名目使用avagent/av/plugins/com.oracle.av.plugin.oracle/config/名目使用oracle账户，进入受保护主机的cd/u01/app/oracle/product/avagent/av/plugins/com.oracle.av.plugin.oracle/config/2〕avauditusersqlplus/assysdbaSQL>createuseravaudituseridentifiedbyoracle;3〕SQL>@oracle_user_setup.sqlavauditusersetup;(avaudituser赐予治理审计策略、从非Redo日志中收集数据的权限)sqlplus/assysdba@oracle_user_setup.sqlavaudituserREDO_COLL(avaudituser赐予从Redo日志中收集数据的权限)sqlplus/assysdba@oracle_user_setup.sqlavaudituserSPA(SPA权限)sqlplus/assysdba@oracle_user_setup.sqlavaudituserENTITLEMENT(URA权限)4〕在受保护目标Tab页面中，添加数据库用户名avaudituser及密码等信息，点击保存〔必要，否则会导致后面的审计线索启动不了〕在受保护目标数据库上开启审计设置1〕使用oracle192.168.0.12〔ORCLDB〕2〕查看数据库的audit参数：sqlplus/assysdbashowparameteraudit4〕audit_sys_operationsFasleoraudit_trailDB,EXTENDED，则：SQL>altersystemsetaudit_sys_operations=truescope=spfile;SQL>altersystemsetaudit_trail=’DB,EXTENDED’scope=spfile;SQL>shutdownimmediate;SQL>startup;配置审计线索1〕使用治理员账户avadmin登录AuditVaultServers://AVServer_IP2〕Tab页面中，选择审计线索，点击添加：选择收集主机，受保护目标名称，审计线索类型为TABLE，线索位置为SYS.AUD$，点击保存。启动添加的审计线索：添加另一个审计线索：点击保存，并启动这个审计线索。查看审计线索状态：配置审计策略使用审计账户avauditor登录AuditVaultServers://AVServer_IP在策略Tab页面中，选择审计设置，选中受保护目标orcl，点击检索审计设置：在设置Tab页面中，选择系统/作业，可以看到检索审计设置是否完成：在策略Tab页面中，选择审计设置，可以看到当前的审计设置状态：orcl，查看具体的审计设置：点击Object，可以看到正在使用的Object审计设置：点击右上角的创立：选择对象类型为TABLE，SH.COSTS(TABLE)，对象执行条件：两者〔成功或失败，DML审计粒度：访问，ALTER,DELETE,INSERT,SELECT,UPDAT，点击保存。在策略Tab页面，策略/审计设置中查看现在的审计设置：点击Object，查看具体的对象审计设置：选中添加的5个Object规章，点击右上角的“设置为需要Objec导出：输入用户名avaudituser及密码，点击预配：完成之后，查看现在审计设置：配置防火墙策略1〕使用审计者账户avauditor登录AuditVaultServers://AVServer_IP2〕Tab页面中，选择策略/防火墙策略，点击创立策略：点击修改SQLSQL语句定义策略：选择某几条SQL，点击右上角的设置策略：设置策略把握：操作Warn,日记记录级别：始终，威逼严峻性：中等，点击保存。可以在搜寻框中输入过滤条件，比方SQL语句包含DUAL，点击开头进展搜寻:显示只包含DUALSQL:选中这些SQL，设置策略把握：设置默认规章：点击DefaultRule编辑默认策略，点击应用更改：添加规章：全部未见过的有关于BONUS，EMP,EMPLOYEES的DDL,DCL,DML语句都进展告警、每次都记录，威逼严峻性为主要。在策略把握/设置里面设置登录失败告警、无效语句策略等设置：30s2次登录失败，第三次将告警；针对无效的SQL语句进展告警：SQL〔以治理账户avadmin登陆AuditVaultServerTab页面中，选择强制点/ORCLEP，启用数据库响应〕点击右上角的公布，创立的策略就可以用于DBFW的监控了：DBFWTaborcl，选择防火墙策略，点击更改