深信服数据库审计系统 DAS

产品实施指南

目 录

HYPERLINK \l "_TOC_250008" 第 1 章 说明4

HYPERLINK \l "_TOC_250007" 第 2 章 概述4

HYPERLINK \l "_TOC_250006" 第 3 章 支持/不支持的场景说明4

HYPERLINK \l "_TOC_250005" 第 4 章 注意事项5

HYPERLINK \l "_TOC_250004" 第 5 章 部署5

HYPERLINK \l "_TOC_250003" 部署环境5

l 服务器支持5

l 软件清单6

HYPERLINK \l "_TOC_250002" 部署上架6

HYPERLINK \l "_TOC_250001" 效果验证10

第1章 说明

此文档的目的，是为让产品自我运营，这里只说明运营和解决客户问题过程中的注意事项。 此文档的内容可以自由调整，达到目的和宗旨即可。

第2章 概述

l版本的主要目的

数据库审计作为安全资源池解决方案部分，为了帮助客户做等保建设，保护客户数据安全。

l解决如下问题

1.解决数据库服务器与 web 服务器在同一台主机上时，无法将数据库的流量通过镜像交互机镜像到 DAS 上，现有的 DAS 审计方案无法实现审计功能

2.解决数据库在虚拟机环境中，无法将数据库的流量通过镜像交互机镜像到

DAS 上，现有的 DAS 审计方案无法实现审计功能。

第3章 支持/不支持的场景说明

功能

不支持

支持

Agent 审 计解决方案

1.不支持 web 服务器与数据库之间不使用

TCP 通信场景。(识别办法：通过 netstat 命令查看连接内容是否有数据库TCP 连接

windows 下可以通过类似processhacker 工具 查 看 ) 2.Agent 插件审计方案不支持安全策略的

拒绝功能。

，

支持数据库审计支持 web 审计

vDas 虚拟机

1.不支持安全资源池之外的虚拟机平台

第4章 注意事项

1.数据库Agent 抓包方案会对网口流量产生影响，网络中的流量负载会加倍， 使用过程中可以通过端口过滤掉非关键流量。

2.预发布包还不支持老配置导入。

3.在 Agent 功能开启前，已经建立的数据库连接，无法实现审计功能，新的连接可以。

4.在安全资源池中 vDas 使用 Agent 审计解决方案时，镜像口需要接到同一个物理出口的上面去，不能使用虚拟机交换机。

vDas 本身只有镜像数据，在安全资源池的虚拟机详细中看到的会话数会显示为 0。

vDas 目前只是支持 eth0 为管理口,eth1 为业务口。

第5章 部署

部署环境

l 服务器支持

1、Agent 支持以下 linux 发行版的 64 位操作系统和 windos 服务器

Centos 5\6\7 Redhat 5\6\7

Ubuntu10\11\12\13\14 Debian6\7

Windows 2008r2 Windows 2012

2、das 虚拟模板支持安全资源池环境

l 软件清单

DAS2.0软件升级包

DAS2.0 .ssu

vDAS2.0虚拟机模板

DAS2.0 .vma

数据库审计 Agent 插件

Windows 安装包

Das_Agent_windows_Builzip

数据库审计 Agent 插件 Linux

安装包

Das_Agent_linux_Builzip

注意：请做 MD5 校验，防止包损坏。

部署上架

按步骤、分章节说明整个部署上架过程

DAS 设备部署

实体机 DAS 设备升级部署

使用升级功能加载 SSU 包升级即可。

虚拟机 DAS 设备升级部署

直接在安全资源池模板中部署 vDAS 组件即可。

安装客户端 Agent

windows Agent 安装

解压压缩包，双击 EXE 直接运行即可完成安装。

linux Agent 安装

Linux 服务器，解压安装包上传 agent_install.bin 到服务器，在 root 帐户下运行

agent_install.bin 脚本进行安装。安装时指定绝对安装路径。

配置 DAS

安全资源池 DAS 设备配置

登录 DAS 设备控制台，部署 eth0 为管理口，部署好网络模式。

在网口配置中配置 eth1 为业务口，并且配置好与 Agent 的通信 IP。

DAS2.0.2 版本以前：编辑网络拓扑，单独新增空闲的一个物理出口。将 DAS

的 eth2\eth3 镜像口同时接入到上一步的物理出口上，做数据包回放。

DAS2.0.2(含 2.0.2)版本以后: