AVDF12.1.1.0安装及配置文档

AVDF12.1.1.0

安装及配置文档

1. Audit Vault Server 和Database Firewall安装
   1. AVDF12..0概述

本章节所有文本均基于AVDF12.1.1.0版本，主要描述Audit Vault Server和Oracle Database Firewall的安装及配置使用。

AVDF12.1.1.0架构图

Oracle AVDF提供了数据库的第一道安全防线，它可以整合来自数据库、操作系统、目录的审计数据进行监督控制。基于 SQL 语法的高度精确的技术，在网络中未授权的SQL 语句到达数据库之前，数据库防火墙对其实施监视和阻断。Audit Vault服务器结合从网络访问的数据库信息和详细的审计数据，轻松提供各种合规报告和告警，AVDF可以很容易地定制，以满足企业的安全要求。

1. 1. AVDF12.1.1.0的安装
      1. 软件下载
         1. AVDF12.1.1.0软件下载

下载页面：https://edelivery.oracle.com， 选择Product Pack: Oracle Database, Platform: Linux x86-86

 点击Oracle Audit Vault and Database Firewall 12.1.1 Media Pack for Linux x86-64，下载三个软件包：

 

DBFW Utilities里面有DDI、F5 BIG-IP ASM集成相关的配置脚本。

1. 1. 1. Oracle DBFW和Audit Vault Server安装前提

安装AVDF的服务器需求：

2GB以上内存

125GB以上磁盘空间

网卡：

1. Audit Vault Server 最少1块网卡
2. Database Firewall：

   代理模式：最少1块网卡

   旁入监听模式：最少2块网卡

   DPE模式：最少3块网卡

被Agent监控的主机要求Java SE version 6

1. 1. 1. 1. AVDF 部署案例（DBFW代理模式）

以下是AVDF的一个简单部署方案。图中的三台虚机分别是：DB02—被监控的数据库、DBFW及AVServer。DBFW采用代理模式监控数据库的网络活动，通过在DB02主机在部署AV Agent来监控DB02的操作系统、目录和数据库的信息。

AVDF部署案例

1. 1. 1. 安装AVDF12.1.1.0
         1. 安装Database Firewall

安装步骤如下：

1. 首先设置BIOS从CD-ROM启动，reboot机器
2. 插入V38463-01.iso(DBFW安装介质)开始安装

输入 install ，然后回车，开始安装

1. 安装进程信息

1. 提示插入Database Firewall的安装盘：

1. 提示输入安装密码：

1. 提示再次输入安装密码:

提示安装密码设置成功：

   

1. 选择一个网卡作为管理控制口:

1. 输入管理端口的IP地址：

1. 将光标位于Reboot,按Enter重启系统：

1. DBFW的运行界面：

11. 通过https://DBFW_IP来访问DBFW的WEB界面，输入在安装时设置的安装密码：

   12. 设置DBFW管理用户,root,和support用户的密码：

       

点击保存之后，页面会自动跳转到DBFW管理用户的登陆界面：

     登录之后，进入DBFW的运行界面：

       

1. 1. 1. 1. 安装Audit Vault Server

安装步骤如下：

1. 首先设置BIOS从CD-ROM启动，reboot机器
2. 插入V38462-01.iso(Audit Vault Server安装介质)，输入 install，然后回车，开始安装

1. 安装进程信息

1. 提示输入安装密码：

1. 提示再次输入安装密码:

提示安装密码设置成功：

   

1. 选择一个网卡作为管理控制口:

1. 输入管理端口的IP地址：

1. 将光标位于Reboot,按Enter重启系统：

1. Audit Vault Server的运行界面：

11. 通过https://AVServer_IP来访问Audit Vault Server的WEB界面：

   12. 设置Audit Vault Server的管理员用户,root,和support用户的密码：

       

点击保存之后，页面会自动跳转到Audit Vault Server的登陆界面(avadmin或者avauditor用户)：

     登录之后，进入Audit Vault Server的运行界面：

     

1. AVDF的配置使用
   1. DBFW 配置
      1. 设定时间和日期

1. 登陆DBFW Web控制台: https://DBFW_IP

1. 在System页面中，选择日期和时间，点击右下角的更改：

1. 输入相应的日期和时间，点击保存：

1. 1. 1. 配置网络服务
2. 登陆DBFW Web控制台: https://DBFW_IP

1. 在System页面中，选择服务，点击右下角的更改：

1. 将Web访问、SSH访问、SNMP访问设置为all，点击保存：

1. 1. 1. 更改键盘布局
2. 登陆DBFW Web控制台: https://DBFW_IP

2）点击键盘，选择键盘布局us，点击应用。

1. 1. 1. 网络配置，添加代理端口
2. 登陆DBFW Web控制台: https://DBFW_IP
3. 在System页面中，点击网络：

1. 点击右下角的更改，在代理端口中输入11521，选中已启用，点击添加：

点击右下角的保存，完成代理端口的添加：

1. 1. 1. 配置Audit Vault服务器
2. 登陆DBFW Web控制台: https://DBFW_IP

1. 点击Audit Valut服务器：

1. 输入Audit Vault服务器IP地址，从Audit Vault Server的设置/证书处复制服务器证书，点击应用：

1. 1. Audit Vault Sever 配置
      1. 设定时间、日期和键盘
2. 使用管理员账户avadmin，登陆Audit Vault Server Web控制台: https://AVServer_IP
3. 在设置Tab页面中，点击系统/管理：

1. 设置相应的时间、日期，选择键盘布局，点击保存。
   1. 1. 设置网络服务

1) 使用管理员账户avadmin，登陆Audit Vault Server Web控制台: https://AVServer_IP

2）在设置Tab页面中，点击服务：

3）将SSH访问、SNMP访问都设置为“全部”，点击保存：

1. 1. 1. 注册防火墙

1）使用管理员账户avadmin，登陆Audit Vault Server Web控制台: https://AVServer_IP

2）在防火墙Tab页面中，点击注册：

1. 输入名称及防火墙的IP地址，点击保存：

确保在注册之前已向防火墙提供此系统的证书。

1. 1. 1. 添加受保护目标
2. 使用管理员账户avadmin，登陆Audit Vault Server Web控制台: https://AVServer_IP
3. 在受保护目标Tab页面中，点击目标/注册

1. 添加相应的信息，注册受保护目标：

参数说明：

  新受保护目标名称：输入受保护目标的名称

受保护目标位置：JDBC连接串，例如jdbc:oracle:thin:@//192.168.0.12:1521/orcl

         受保护目标类型：选择Oracle Database

     用户名：输入用于URA,SPA审计的用户名

        添加受保护目标地址：输入IP地址、端口号、服务名之后，点击添加

     最后点击保存

1. 1. 1. 创建强制点(Enforcement Point)

1）使用管理员账户avadmin，登陆Audit Vault Server Web控制台: https://AVServer_IP

2） 在受保护目标Tab页面中，选择监视/强制点，点击创建：

3）输入强制点名称、选择监视模式、要监控的受保护目标、选择防火墙及通信端口，点击保存：

4）启动强制点：选择ORCLEP，点击启动

1. 1. 1. 更改防火墙策略
2. 使用审计账户avauditor，登陆Audit Vault Server Web控制台: https://AVServer_IP
3. 在受保护目标Tab页面中，点击orcl:

3）点击防火墙策略，点击更改：

4）选择相应的防火墙策略，例如Log all，点击保存。

1. 1. 1. 注册目标主机及部署代理
         1. 注册目标主机
2. 使用审计账户avadmin，登陆Audit Vault Server Web控制台: https://AVServer_IP

2）在主机Tab页面中，点击注册：

3）输入主机名及主机IP，点击保存：

1. 1. 1. 1. 在受保护主机上下载代理
2. 使用oracle用户登录192.168.0.12（ORCLDB）
3. 创建一个avagent目录：

cd /u01/app/oracle/product

mkdir avagent

1. 在avagent目录下从Audit Vault Server上下载avagent:

cd /u01/app/oracle/product/avagent

scp support@192.168.0.11:/var/lib/oracle/dbfw/av/jlib/agent.jar .

1. 1. 1. 1. 在受保护主机上安装代理
2. 使用oracle用户登录192.168.0.12（ORCLDB）
3. 进入avagent目录，安装代理：

 cd /u01/app/oracle/product/avagent

 java -jar agent.jar

 

1. 激活avagent:

 cd /u01/app/oracle/product/avagent/bin

 ./agentctl activate

 

1. 1. 1. 1. 激活并启动代理

1）使用管理员账户avadmin，登录Audit Vault Server https://AVServer_IP

1. 在主机Tab页面中，选择主机，勾选相应的主机名，再点击激活：

   激活后，代理激活状态变为Approved：

  

1. 在ORCLDB（192.168.0.12）主机上，使用oracle账号启动代理：

  cd /u01/app/oracle/product/avagent

  ./agentctl start -k 5FZG-QU3K-YYJK-ZGI0-NNF1 (agentctl start –k key，这里的key是上图中的代理激活密钥)

1. 刷新Audit Vault Server页面，查看代理状态：

在主机Tab页面中，选择主机，查看代理状态是否为Running:

1. 1. 1. 1. 在受保护主机上为监控审计创建数据库账户

AVDF需要在受保护主机上创建数据库账户，并赋予相应权限，才能做到：收集审计数据，管理审计策略，SPA，URA，及DDI(数据加密for Oracle)。

1. 使用oracle账户，进入受保护主机的avagent/av/plugins/com.oracle.av.plugin.oracle/config/目录

  cd /u01/app/oracle/product/avagent/av/plugins/com.oracle.av.plugin.oracle/config/

1. 创建数据库账户avaudituser

  sqlplus / as sysdba

  SQL> create user avaudituser identified by oracle account unlock;

1. 运行下面的脚本：

SQL> @oracle_user_setup.sql avaudituser setup; (为avaudituser赋予管理审计策略、从非Redo日志中收集数据的权限)

sqlplus / as sysdba @oracle_user_setup.sql avaudituser REDO_COLL (为avaudituser赋予从Redo日志中收集数据的权限)

sqlplus / as sysdba @oracle_user_setup.sql avaudituser SPA (SPA权限)

sqlplus / as sysdba @oracle_user_setup.sql avaudituser ENTITLEMENT (URA权限)

4）在受保护目标Tab页面中，添加数据库用户名avaudituser及密码等信息，点击保存：（这步非常有必要，否则会导致后面的审计线索启动不了）

  

1. 1. 1. 1. 在受保护目标数据库上开启审计设置

1）使用oracle用户登录192.168.0.12（ORCLDB）

2）查看数据库的audit参数：

sqlplus / as sysdba

show parameter audit

1. 如果audit_sys_operations为Fasle or audit_trail 不为DB, EXTENDED，则：

  SQL> alter system set audit_sys_operations=true scope=spfile;

  SQL> alter system set audit_trail=DB, EXTENDED scope=spfile;

  SQL> shutdown immediate;

  SQL>startup;

1. 1. 1. 1. 配置审计线索
2. 使用管理员账户avadmin登录Audit Vault Server https://AVServer_IP
3. 在受保护目标Tab页面中，选择审计线索，点击添加：

1. 选择收集主机，受保护目标名称，审计线索类型为TABLE，线索位置为SYS.AUD$，点击保存。

4）启动新添加的审计线索：

1. 添加另一个审计线索：

点击保存，并启动这个审计线索。

1. 查看审计线索状态：

  

1. 1. 1. 1. 配置审计策略
2. 使用审计账户avauditor登录Audit Vault Server https://AVServer_IP
3. 在策略Tab页面中，选择审计设置，选中受保护目标orcl，点击检索审计设置：

1. 在设置Tab页面中，选择系统/作业，可以看到检索审计设置是否完成：

4）在策略Tab页面中，选择审计设置，可以看到当前的审计设置状态：

  

1. 点击orcl，查看具体的审计设置：

1. 点击Object，可以看到正在使用的Object审计设置：

点击右上角的创建：
选择对象类型为TABLE，

对象SH.COSTS(TABLE)，

对象执行条件：两者（成功或失败），

DML审计粒度：访问，

语句审计类型：ALTER,DELETE,INSERT,SELECT,UPDATE，

点击保存。

1. 在策略Tab页面，策略/审计设置中查看现在的审计设置：

1. 点击Object，查看具体的对象审计设置：

1. 选中新添加的5个Object规则，点击右上角的“设置为需要”，然后选择Object，点击导出/预配：

输入用户名avaudituser及密码，点击预配：

9）完成之后，查看现在审计设置：

1. 1. 1. 1. 配置防火墙策略

使用审计者账户avauditor登录Audit Vault Server https://AVServer_IP

在策略Tab页面中，选择策略/防火墙策略，点击创建策略：

3）点击修改SQL，针对SQL语句定义策略：

4）选择受保护目标ORCL ，点击下角的应用：

5）选择某几条SQL，点击右上角的设置策略：

6）设置策略控制：操作Warn,日记记录级别：始终，威胁严重性：中等，点击保存。

7）可以在搜索框中输入过滤条件，比如SQL语句包含DUAL，点击开始进行搜索:

显示只包含DUAL的SQL:

  选中这些SQL，设置策略控制：

8）设置默认规则：点击Default Rule

编辑默认策略，点击应用更改：

    

9）添加新规则：所有未见过的有关于BONUS，EMP,EMPLOYEES的DDL,DCL,DML语句都进行告警、每次都记录，威胁严重性为主要。

10）在策略控制/设置里面设置登录失败告警、无效语句策略等设置：

   30s内连续2次登录失败，第三次将告警；针对无效的SQL语句进行告警：

   注意：登录失败告警及无效SQL告警设置要生效，必须先激活数据库响应。（以管理账户avadmin登陆Audit Vault Server，在受保护目标Tab页面中，选择强制点/ORCLEP，启用数据库响应）

  

11）点击右上角的发布，新创建的策略就可以用于DBFW的监控了：

12）应用新创建的策略进行DBFW监控：在受保护目标Tab页面中，选择目标orcl，选择防火墙策略，点击更改：

选择新创建的策略，点击保存：

  DBFW应用新的策略test进行监控：

1. AVDF报表测试

下面主要看AVDF的几类内置报表：审计报告、相容性报告、及专用报告。（需要审计者账户登录avauditor登录AVServer https://AVServer_IP ）

1. 1. 审计报告

在报告Tab页面中，选择内置报告/审计报告，可以看到各种审计报告：

1. 1. 1. 活动报告

活动报告中包括常见的数据访问、数据更改、登录失败、用户Login/Logout、授权变化、受保护目标的启停机等11种报告。右边的三排按钮的功能分别是：浏览生成的报告、查看报告数据、Schedule报告。

以一个数据更改报告为例，用户可以在搜索框中输入相应条件来过滤自己感兴趣的内容：

1. 1. 1. 预警报告
2. 在报告Tab页面中，选择内置报告/审计报告/预警报告：

2）点击All Alerts第二排按钮的查看报告数据：

1. 1. 1. 授权报告
2. 先确保之前检索过用户授权：在受保护目标Tab页面中，选择目标/orcl，点击用户授权（如果上次检过时间为--，则点击右侧的检索用户受权数据）

1. 在报告Tab页面中，选择内置报告/审计报告/授权报告：

1. 点击User Accounts授权报告的第二排按钮查看报告数据：

1. 1. 1. 存储过程审计报告
2. 先确保之前激活过存储过程审计：在受保护目标Tab页面中，选择目标/orcl，点击存储过程审计

1. 在报告Tab页面中，选择内置报告/审计报告/存储过程审计报告：

1. 点击Stored Procedure Activity Overview报告的第二排按钮查看报告数据：

1. 1. 相溶性报告

相溶性报告包含：PCI报告、GLBA报告、HIPAA报告、SOX报告、DPA报告。

以PCI报告为例：

1. 将受保护目标加入PCI组中：在受保护目标/管理/组中，选择PCI:

2）选中受保护目标，点击添加成员，然后点击保存：

这样受保护目标就可以生成PCI合规报表了。

3）在报告Tab页面中，选择相溶性报告/PCI报告，点击查看Data Modification的数据：

Data Modification(PCI)报告：

1. 1. 专用报告

专用报告主要是跟DBFW相关的报告：策略报告和F5报告。策略报告中包括根据客户端IP行为追踪、OS用户行为追踪、告警、阻断及无效SQL报告。

1. 客户端IP行为追踪：

2）告警报告：