数据库审计系统-防护系列用户使用手册

数据库审计系统.防护系列

用户使用手册

目录

前言.....................4

概述......................................................................................4

期望读者.................................................................................4

格式约定.................................................................................4

1产品概述..............6

i.l产品简介..............................................................................6

1.2名词解释..............................................................................7

2登机操作...............8

2.1系统登录..............................................................................8

2.2内置管理员............................................................................8

3系统管理员...........9

3.1防护对象..............................................................................9

3.1.1防护概况.........................................................................9

3.1.2防护对象........................................................................12

3.1.3数据库发现......................................................................17

3.2防护查询.............................................................................18

3.2.1语句查询........................................................................19

3.2.2会话查询.......................................................................20

3.2.3规则命中.......................................................................21

3.3防护统计.............................................................................22

3.3.1权限阻断统计....................................................................23

3.3.2风险阻断统计....................................................................23

33.3风险审计统计...................................................................23

3.3.4会话统计.......................................................................23

3.4防护报表.............................................................................24

3.4.1全库报表........................................................................24

3.4.2推送任务.......................................................................26

3.5系统配置.............................................................................28

3.5.1应用插件配置....................................................................28

3.5.2IP名称管理.....................................................................30

3.5.3防护引擎管理....................................................................31

3.5.4系统告警配置....................................................................31

3.5.5系统告警信息....................................................................32

3.6日志管理.............................................................................33

3.6.1系统日志........................................................................33

3.7用户管理.............................................................................35

3.7.1用户管理........................................................................35

3.7.2角色管埋........................................................................36

3.7.3组织管理.......................................................................37

3.7.4密码锁定管理....................................................................39

3.7.5分级管理........................................................................39

3.8防护详情.............................................................................40

3.8.1概况............................................................................41

3.8.2查询...........................................................................41

3.8.3统计...........................................................................41

3.8.4报表...........................................................................42

3.8.5规则...........................................................................42

3.8.6告警...........................................................................50

4配置管理员.............51

4.1系统管理.............................................................................51

4.1.1授权管理........................................................................51

4.1.2组件...........................................................................52

4.1.3安全参数配置....................................................................53

4.1.4日志下载管理....................................................................59

4.1.5系统关机重启....................................................................59

4.1.6时钟同步配置....................................................................60

4.1.7防火墙网络配置..................................................................60

4.1.8系统升级.......................................................................63

4.1.9端口管理.......................................................................63

4.2数据管理.............................................................................64

4.2.1数据清理........................................................................64

4.2.2数据备份.......................................................................65

4.2.3恢复出厂设置....................................................................66

4.3系统监控.............................................................................67

4.3.1HA状态查看.....................................................................67

4.3.2系统状态监控....................................................................67

4.3.3网络流量监控....................................................................68

4.3.4进程监控.......................................................................68

4.3.5自动诊断........................................................................68

5日志管理员.............72

5.1日志管理.............................................................................72

5.1.1系统日志........................................................................72

6安装部署指南..........73

6.1串接方式.............................................................................73

出厂参数.................74

出厂配置.................................................................................74

初始管理员..............................................................................75

系统管理员初始帐号...................................................................75

配置管理员初始帐号...................................................................75

日志管理员初始帐号...................................................................75

■■•

刖百

概述

本文将覆盖数据库审计系统•防护系列（DatabaseAuditSystcm-FircWall,以下简称DAS-FW）的Web

管理界面的所有功能点，并详细介绍其使用方法。

本手册仅作为使用指导，实际产品可能会由于版本升级或其他原因，与手册描述有略微差异。

期望读者

期望了解本产品主要技术特性和使用方法的用户、安全管理员、数据库管理员等。本文假设您对下面

的知识有一定的了解：

•Linux和Windows操作系统

•数据库相关知识

格式约定

符号说明

粗体字菜单、命令和关键字

斜体字文档名、变量

对描述内容的补充和引用信息

说明

■

使用设备时的技巧和建议

提示

A需要特别注意的事项和重要信息

注意

符号说明

0有可能造成人身伤害的警告信息

警告

[XXX]按钮名称的表示方式

A>B菜单项选择的表示方式

产品概述

1.1产品简介

数据库审计系统-防护系列（简称DAS-FW）,是一款基于数据库协议分析与控制技术的数据库安全防

护系统。DAS-FW基于主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审计，DAS-FW

是一款集数据库IPS.IDS和审计功能为一体的综合安全产品。

DAS-FW通过SQL协议分析，根据预定义的禁止和许可策咯让合法的SQL操作通过，阻断非法违规

操作，形成数据库的外围防御圈，实现SQL危险操作的主动预防、实时审计。

DAS-FW面对来自于外部的入侵行为，提供防SQL注入禁止和数据库虚拟补丁包功能；通过虚拟补丁

包，数据库系统不用升级、打补即可完成对主要数据库漏洞的防控。

DAS-FW支持Oracle、SQLServersDB2、MySQL等国际主流数据库产品。能够在不影响数据库原有

性能、无需应用进仃改造的前提卜，提供可完数据库安全保护服务。

在审计报表方面，系统除了提供各种合规性格式报表以外，还提供报表自定义能力，用户可以根据自

身需求选择报表内容和形式创建自己所需报表；除了在线报表以外，系统还提供周期性报表，包括日报、

月报、周报、自定义周期报表等形式，基于系统性能、风险统计、会话分析、语句分析等多个维度提供统

计性报表进行分析♦，并支持定期推送功能。

1-2名词解释

展板：主要是展示当前系统全库和单库的状态、阻断拦截、审计风险、规则类别等统计内容。

规则：即系统中各项安全策略，包括访问权限规则、风险控制规则。

访问模式：访问权限规则中，包含“禁止”、“允许”两种访问模式。“禁止”模式下，在规则有效时间内，

禁止对满足规则条件的数据库对象进行操作；其他时间，可以疝所有数据库对象进行操作。“允许”模式下,

在规则有效时间内，只允许满足规则条件的数据库对象进行操作；其他时间，禁止对所有数据库对象进行

操作。

阻断日志记录：选择“是“，则输出规则的阻断日志记录。

语句拦截：客户端访问数据库的过程中，对命中规则的某一语句或操作进行拦截，不影响会话连接的

使用。

会话阻断：客户端访问数据库的过程中，对命中规则的某一语句或操作进行拦截，直接断开会话连接,

客户端需要重新创建会话才能继续使用。

引擎动作：包含“放行”、“审计”、“阻断”。

放行：防护引擎通过设置引擎动作为“放行”的规则，对接收到的数据进行筛选，满足放行条件的数据

一律放行，不再进行审计和阻断,

审计：防护引擎通过设置引擎动作为“审计'.的规则，对接收到的数据进行筛选，满足审计条件的数据,

进行审计输出，一般会标记为高、中、低、可信风险。

阻断：防护引擎通过设置引擎动作为“阻断”的规则，而接收到的数据进行筛选，满足阻断条件的数据,

一律阻断，标记为高风险。

登机操作

2.1系统登录

在需要操作DAS-FW的机器（称为客户机）上打开浏览器，在地址栏内输入DAS-FW的访问地址，

系统默认访问地址：：8443,进入系统登录页

注意：

令确认客户端主机可以和DAS-FW正常通讯（如果通过防火墙，请将8443端口打开）。

◊浏览器支持:Chrome和Firefox。Chrome版本建议为6」及以上,Firefox版本建议为60及以上。

不推荐使用1E浏览器,以免出现未知问题。

◊屏幕分辨率:最佳为1680*1050,最低分辨率支持1366*76&

2.2内置管理员

系统内置三种系统角色账号（用户也可灵活自定义角色并任意分配角色的菜单功能），缺省密码都是

Admin@123,可参考该手册末尾出厂参数-＞初始管理员章节。具体如下：

sysAdmin：系统管理员。负责DAS-FW系统引擎配置、规则下发、数据展现、报表统计等业务功能。

confAdmin：配置管理员。不针对具体的业务功能，可对DAS-FW系统进行配置维护，如授权管理，

时钟同步，防火墙网络配置等系统功能。

logAdmin：日志管理员。查看DAS-FW系统本身审计日志,

系统管理员

3.1防护对象

3.1.1防护概况

系统管理员登录系统后默认展示的页面是欢迎使用，点击左侧防护概况，防护概况展示的内容包括3

部分：时间查询区域，文字展示区域和图形展示区域。如下图：

口・・纥加•1680・180

1.时间查询区域包含：最近30分钟，最近2小时，最近12小时，今天，昨天，本周，上周，本月，

上月。可根据查询需求选择不同的时间进行查询。根据不同时间范围进行查询，图形的统计粒度也随之不

同,

最近3防仲I最近2小时潮■瞬

2.文字展示区域包含：防护对长，数据库实例，阻断总数，审计总数，今日阻断总数，今日审计总数。

数据库实例：5阻断总数:702自计总数：84今日阻断总数：0今日由计总数：0

（1）防护时长：显示系统的防护时间，统计本系统自开始防护至今的总时长。

（2）数据库实例：防护的数据库实例数量。

（3）阻断总数：显示并统计防护到的所有数据库阻断总量。

（4）审计总数：显示并统计防护到的所有数据库审计总量。

（5）今日阻断总数：显示并统计截止访问时间当口的阻断总量。

（6）今日审计总数：显示并统计截止访问时间当日的审计总量。

3.图形展示区域包含：防护对象阻断量，防护对象网络拓扑，规则类别中标，阻断拦截趋势，阻断拦

截占比，审计风险趋势，审计风险占比。

（1）防护对象阻断量：以饼状图展示所防护数据库的阻断量及在所有阻断量中的该数据库阻断量

的占比数。将鼠标放置与对应数据库的饼图区域，显示具体的数据库阻断量及数量占有比率。

防护对象阻断星

mysql8.61------------------1---------sqlserver8.63

（2）防护对象网络拓扑：以关联图形的形式展示在统计时间段内防护设备、防护的数据库、客户

端IP的访问关联关系。鼠标移动至圆点位置显示防护设备、数据库、客户端IP信息，鼠标移动至连线位

置显示审计圆点设备间的关系。

防护设备网络拓扑

■防护设®数据库•客户端IP

（3）规则类别中标：按照用户权限、终端权限、登录规则、行数规则、操作规则、语句规则、注

入规则、漏洞规则，8种规则类别，以语句拦截、会话阻断维度，柱状图的形式展现统计结果.

现现类别中标

■遇句空数会总夔好

（4）阻断拦截趋势：展示统计周期内不同时间点会话阻断、语句拦截的分布情况。鼠标移动至某

一时间节点，显示出该时刻阻断行为的统计数量

（5）阻断拦截占比：以饼状图的形式展示会话阻断、语句拦截的比例。鼠标移动至不同颜色区域,

显示相应阻断行为的数最和在总数最中的占比数。

阻断拦截占比

语句拦截:257(98.85%)

套句拦昼

（6）审计风险趋势：展示统计周期内不同风险级别的分布情况。鼠标移动至时间节点，显示该时

间节点上不同风险级别的访问数量。

2019-04-3018

J3RK：0

申冈脸：36

低风险：48

（7）审计风险占比：以饼状图的形式直观展示不同风险级别的数量在整体风险总量的占比，鼠标

移动至饼状图对应区域显示该风险级别的数最和占比的详细信息。

亩计风险占比

:48(57.14%)

3.1.2防护对象

防护对象是针对当前DAS-FW系统所有数据库实例的汇总展示，页面默认显示全部数据走信息，可以

一览当前数据库审计全貌。页面分为上下两部分，上半部分以列表形式显示已添加的数据库详细配置信息,

下半部分，点击“全部对象统计”，显示各个数据库的审计信息，包括：当前活跃会话、当前语句压力；今

天阻断总量、今天审计总量；全部阻断总量、全部审计总量。

▼列显示+班以/同用/停用Q««Q至M乃金就计

序m女痘*一我痘*修好拿原作f；统启用状丞作曲旬修的周

1sqteeeec8.63SQlS€r/er2005UTF8启用3:1433201W4-5016XJ7XJ2O19XM-3O16:07:0同卡i«T127.80.D

211OradeUTF800:3306201M4-JO15:16:4201904-3015:16:4同越一U27QAD

3S㈤8.61D628.1UTF8三月192.168.8.61:50000/SAMPLE201W4-3014:34:42019^)4-3014:47:1月*图一（127.0。1）

,」mysd8.61MySql5.0UTF8总网1:3306201^H-30H:37K)2019-04-3014:37:。门卡娼T127QA1)

10，K4BjMia►Ho

sqlscrvcr8.63192.1684.111db28.61my«qld.61

刍的£=（T5分食）刍粕:主大5分刍V：昌明5分A）三%[=肮5分㈣

渚注会后0^恁票会后88舍转

惠W助0*/§通每JE力o*/s,物0*/5电句反力0*/s

娜好坛林

用呼停，0«0*阻融令■0*0*

事计打0*南泞e・0*•计*rtSB0M

全尊金计室睇金库

组卧江W7*范16Oft温繇0>用能三・5条

宰叶江733条«l+S>0«Biteji21s«xte«32ft

仅总mE3

防护对象包含如下菜单功能：【列显示】、【新增】、【编辑】、【删除】、【启用】、【停用】、

[Sift]和【全部对象统计】。

＞【列显示】功能

可以通过【列显示】下拉菜单选择需要显示和隐藏的参数项，如数据库名、数据库类型、数据库版本、

字符集、操作系统、启用状态、数据库地址、创建时间、修改时间、网卡组名、描述、操作。参数项与列

表显不对■应关系如-卜图。

:q型触/启用/停用QgQ全便对拿统计

必庭

尸-/兔？S05M3提作5蜕启用次US538M也t必■打闻传时育向卡姐不建日或在

st«cg

】:/iSenv2005UTW全伎弓名用192.168.^.63:1433201^44-3016^7:03201火“3016:07g)情

2口/yacfe9.1A0UTF8未便司冠用192168^200:538201^44-3015:16:422019<H-3015:16:42«♦«-<)/»福

3/犯集DB28.1UTF8未使用这里192.168.8,61：500CO/SAMFt£201%44-3014^:452019<H-3014:47:13R-WifiH127,0.0.1)第2漂fll

4/■律Krt

5QVTF8主使用W弓192.168.a.61:»»201^44-3014J7H)22019<*3014:37X12«-#«-<127,0.0.1)防护Hfll

后用状壬

✓W魂

✓到时直

修茂打直

网视8名

【列显示】功能在每个功能模块中都存在，以下章节中不再进行提及，所有功能都大同小异。

＞【新增】功能

本系统新增数据库有两种操作方式：手动添加和智能识别｛数据库发现）。当前新增功能是手动添加

数据库操作。数据智能识别功能参见3.1.3节（数据库发现）。

基于【新增】操作，可以为DAS-FW系统添加被防护数据库。点击【新增】按钮，如图:

需要注意：

（1）*号标记的数据库名、数据库类型、数据库版本、字符集、操作系统、代理类型、网卡组/代理

组、IP、端口为必填项。

（2）数据库名只能为中文、英文、数字、空格与部分符号的组合

（3）IP地址符合IPV4或者IPV6地址规范

（4）端口号为0到65535之间的整数，只有。racle低版木（及以下版木）可以设置动态端

口,

（5）新增页面提供一个获取数据库版本号功能，点击“自动获取”，填写正确的信息，点击【保存】

按钮，即可获取到正确的版本号,

新君数据库

基本信息

“兹品重名:

X数据室，场本：

”提作茎统：未使用

,河卡洛:

描述:

：6址列表

*IP

6

/侯存篱关闭

填写完所有必填项后点击【保存】按钮稍等片刻弹出操作成功页面，点击【确认】后数据库信息添加

完成。在数据库添加完成后，DAS-FW根据数据库类型、版本，添加默认的对象、规则信息。

＞【编辑】功能

数据库列表中选择一条记录，点击【编辑】按钮，即可进行数据库的编辑。编楫数据库功能和新增功

能基本•致，唯一的区别是编辑数据库的时候，数据库类型无法进行编辑。

编埴数据库Q

＞【删除】功能

数据库列表中选择一条记录，点击【删除】按钮，即可进行数据库的删除。为了避免误操作，删除操

作每次只能针对一个数据库，不能批量删除。删除某个数据库后，该数据库对应的防护记录也会一并进行

删除。

＞【启用】和【停用】数据防护状态

基于数据库列表，勾选一条数据库记录，点击【启用】或者【停用】按钮可更改当前数捱库的防护状

态，处于“启用”状态的数据库是当前系统正在防护的数据库；处于“停用”状态的数据库是不被系统监

控防护的，“停用”状态的数据库中的防护记录不会被删除。

1V利显示+产*、Q至箧灯翁统计

和J携摩多疣息■埼次石332*3必的闻与阿信向卡电容电在

1口sqberver8.63SQlSenv2005UTFe叫3:1433201^44-301607:03201963016:073R*«-(127.0.0.1)

2.1Oade9.1A0UTF8192468.8.200:3306201^44-3015:16:422019<H-3015:16:42访日情

3□dt>28.61DB28.1UTF81:50000/SAMPlE201^44-3014^4:452019<*3014:47:13R*«-<127.0.0.1)WhSfll

4□5QUTF8192.16«.8.61:»)6201944.3014:37:022019^-3014:37^2R*ig-()

＞【查询】功能

为了方便数据库防护对象的管理，可以根据查询功能快速找到需要查看的数据库防护对象。点击【查

询】按钮，弹出查询操作对话框，杳询条件为：数据库名称、数据库类型、数据库版本、操作系统、启用

状态、实例名、IP地址。

3.1.3数据库发现

数据库发现功能是指在设定的时间内持续发现流量中包含的数据库信息并记录到数据库列表中，对于

已经存在于防护对象中的数据库则不进行记录。

数据库发现包含如下菜单功能：【显示已忽略数据库列表】、【运行任务】、【结束任务】、【删除】

和【查询】。

＞【运行任务】功能

点击【运行任务】下拉菜单，选择任务时长即可启动数据库自动发现功能。任务时长可以选择30分钟，

3小时，6小时，12小时。

运行任务▼结束任

,/运行30分钟

X运行切'时

X运行6d'时

/运行12〃加

通过运行一段时间的数据库发现任务，可以识别到流量中的存在的数据库，此时可以进行“添加”或

“忽略”操作。

VZ列显示。显宗已忽JBS3S库列表总行任务▼结束任务—«»Q置询发五加m任务退行牛…ttt町间到201%0务0721:37:20

效头震滋J53ES1P赶的间

1□MySQl6:33062019-05-0514:42:49

21SQLServer5:14332019-05-0514:41:47

3□SQLSerw6:14332019-05-0514:40:45

“添加”数据库可以进行如下噪作：(I)添加到同类型的己处于防护对象中的数据库⑵新增数据库,

会弹出新增数据库页面，和3.1.2章节中新增数据库功能基本一致，唯一的区别是数据库类型无法进行选

择，“忽略”数据库会将发现的数据库进行隐藏，进入忽略数据库列表，不在发现的列表中进行显示。

＞【结束任务】功能

当不想运行数据库发现任务的时候，可以通过【结束任务】按钮进行结束。只有当开启了发现任务的

时候，该按钮才可进行点击。

＞【显示已忽略数据库列表】功能

可以显示已经通过【忽略】按钮隐藏的数据库。

＞【删除】功能

选择多条已经发现的记录，点击【删除】按钮可以进行删除。需要注意的是，如果发现任务未停止，

如果流量中再次出现已经删除了的数据库的信息的时候，会再次进行发现，并展示在该列表下。

＞【查询】功能

通过设置杳询条件，对已经发现的记录进行查询。

3.2防护查询

【防护查询】的主要功能是对防护数据库的数据命中规则的记录，进行各种规则、执行结果的查询及

分析，主要包含以下几种：用户权限、终端权限、登录规则、行数规则、操作规则、语句规则、注入规则、

漏洞规则。执行结果与规则管理中的规则是息息相关的，根据规则管理中配置的规则会产牛.相应的记录。

【防护查询】模块功能包括：语句查询、会话查询、命中规则。

3.2.1语句查询

【语句查询】是防护查询的核心组件，通过列表清单的方式逐条展现命中规则的SQL语句。通过具体

的SQL语句、捕获时间、数据库名称、数据库用户、客户端IP、客户端IP名称、执行结果和操作等展现

语句的详细信息。

点击“SQL语句”列进入语句详情页面，展现该条语句的详细信息，例如：语句的访问来源信息、应

用身份信息、SQL语句信息、受影响对象和语句样板。

防P口询语句也询

列三？西5，乐“3语句iX督

忖号口SQL装・F诺鹏林生行结果摄牛

一

1SHOWCOLUMNSFROM'fnysql.^才计放行会否注情

加友生在：201X>5«0713:55:16,蝇的电JS1PZU92.168836,电！璇多址%:C85B768241BC

2SELECT.FROM'mysq「・、student'市计放行会和£情

,