1.Oracle AVDF安裝配置
Oracle AuditVault and Database Firewall的安裝稍微有些麻煩,並且對於安裝環境的硬件配置要求較高。由於分為Audit Vault Server和Database Firewall,所以其安裝部署至少需要2台獨立的主機。以下我們就以最簡單的inline模式為例,來搭建Oracle Audit Vault and Database Firewall針對於ZLHIS應用的實驗環境。
1.1. 前期准備
在安裝之前請按前文所述下載好完整的安裝介質。需要注意:最新版本的OracleAudit Vault and Database Firewall目前僅能安裝在OracleEnterprise Linux5.8 x86_64及以上的版本之上。
由於防火牆工作原理的特殊性要求安裝防火牆的主機至少需要配備2張網卡,如果需要防火牆工作在DPE模式下則至少需要3張網卡。同時要求安裝Audit Vault Server和Database Firewall的主機至少需要2GB的內存和125GB的硬盤空間。
最後,在正式安裝之前請確認用於安裝的這兩台主機都只是用於AuditVault and Database Firewall,並且已經將其中重要數據備份。因為在安裝時會重新生成內核鏡像並對硬盤自動重新分區格式化。
1.2. 正式安裝
確認安裝介質的一定要下載完整,以下的3個鏡像文件缺一不可:
Oracle AVDF安裝介質
先安裝Audit Vault Server。將鏡像文件刻錄好的Audit Vault Server安裝光盤放入光驅,啟動計算機開始安裝,自動加載安裝信息後會提示需要插入Oracle Enterpries Linux系統光盤。此時退出Audit VaultServer安裝盤,插入OEL(Oracle Enterpries Linux)安裝盤後選擇OK。
Oracle AVDF安裝截圖(一)
識別插入的OEL光盤,並驗證安裝所需要的包的依賴關系後,開始自動安裝。該安裝過程其實是先安裝了OEL操作系統(但系統內核鏡像文件是根據Audit VaultServer要求重新生成的),然後再OEL系統上安裝AuditVault Server。
Oracle AVDF安裝截圖(二)
操作系統安裝結束後會提示插入Audit VaultServer的安裝光盤,其後的安裝步驟才是真正安裝Audit Vault Server了。同樣,更換光盤後選擇OK,系統將自動運行安裝並應用配置腳本。
Oracle AVDF安裝截圖(三)
安裝並應用默認配置腳本(根據機器配置情況,此過程花費時間相對較長)。
Oracle AVDF安裝截圖(四)
安裝並應用默認腳本後會提示設置一個”安裝密碼”,這個密碼短語在以後通過控制台關機等情況下需要使用它(設置後需要記住,安裝密碼會要求重復輸入兩次,如果密碼設置太過簡單系統會提示是否確認設置該密碼)。
Oracle AVDF安裝截圖(五)
最後系統會自動識別到當前主機上所配備的所有網絡,並要求選擇其中一張網卡作為管理接口。選擇作為管理接口的網卡後會顯示該網卡相關的信息,並要求設置管理接口IP地址等。
Oracle AVDF安裝截圖(六)
設置管理接口IP地址。
Oracle AVDF安裝截圖(七)
管理接口IP地址設置好之後,選擇最後一項重起完成安裝(重起的過程也會稍微有點長,因為重起時會為Audit Vault Server安裝並配置以後存儲資料的Oracle數據庫)。
成功重起後控制台界面如下圖示。在此界面可以實現更改IP地址、設置操作系統用戶密碼(root、support兩用戶)、更改安裝時設置的密碼以及關機等操作。這些功能在Audit Vault Server提供的Web控制台中都可以完成。到此,Audit VaultServer的安裝全部完成,後續的所有操作都將在Web控制台中來完成了。
Oracle AVDF安裝截圖(八)
Audit VaultServer安裝完成後,就可以安裝Database Firewall(這兩者的安裝順序不用嚴格區分先後)。Database Firewall的安裝步驟與Audit Vault Server完全一樣,其中也會有兩次提示更換安裝光盤、設置安裝密碼和管理接口IP地址等。
1.1. 配置部署
l 初始配置
在正式部署使用之前還需要先完成一些初始的設置,這些設置包括操作系統的用戶密碼(root和support用戶的)、登錄Audit Vault Server和Database Firewall的管理員和審計者的密碼、當前所在時區、時間、所使用的鍵盤類型以及將Database Firewall注冊到Audit Vault Server等設置。
注意,由於Web訪問采用了HTTPS協議,所以在首次使用Web控制台登錄Audit Vault Server或Database Firewall時會提示安裝安全證書。並且在首次登錄時會要求輸入安裝時設置的密碼短語,密碼短語驗證通過後會自動轉到設置Audit Vault Server、Database Firewall的管理員和審計者以及操作系統用戶的密碼的頁面。
Oracle AVDF配置截圖(一)
初始用戶名、密碼設置,用戶名密碼設置完成後就可以剛才設置的用戶名和密碼進行登錄並作其它設置了(主要需要完成當前時區、時間和鍵盤類型的設置,其設置都較了簡單這裡不再贅述)。
Oracle AVDF配置截圖(二)
用戶名、密碼及日期時間這些基本要素設置好以後,現就可以以管理員身份登錄AuditVault Server和Database Firewall然後將Database Firewall注冊到Audit Vault Server中去。因為Database Firewall本身不論是命令行還是Web控制台都沒有提供對自身完整的配置和管理功能,其絕大部分的管理和配置都需要借助於Audit Vault Server來完成。並且對於企業級的有批量部署的需求來講,通過AuditVault Server集中進行管理配置將更加方便。
登錄Audit Vault Server控制台後,在“設置”標簽下選擇“證書”菜單,然後將右側服務器證書框中的內容全部復制到Database Firewall中。因為Audit Vault Server以後將承擔管理和配置Database Firewall的任務,所以其向Database Firewall提供證書的目的在於向Database Firewall中標識自己的合法身份。
Oracle AVDF配置截圖(三)
復制Audit Vault Server中的證書後,在Database Firewall控制台的“System”標簽下選擇“Audit Vault服務器”。然後將所復制的證書內容粘貼到證書欄中去,在Audit Vault服務器IP地址欄內填寫好Audit Vault Server主機的IP地址,並保存設置。
Oracle AVDF配置截圖(四)
完成在Database Firewall中標識Audit Vault Server主機的身份後,返回Audit VaultServer控制台。選擇“防火牆”標簽下的“防火牆”菜單,在注冊防火牆表單中填寫防火牆名稱(防火牆名稱自行定義)和所在主機的IP地址,並確認注冊。
Oracle AVDF配置截圖(五)
由於此前已在Database Firewall中標識了Audit Vault Server主機的身份,所以確認注冊後Audit VaultServer就會連接並接手對Database Firewall的管理。此時在Audit Vault Server中就可以對Database Firewall主機進行重起、關機、刪除注冊等操作。注意,如果只部署了一台Database Firewall並且Audit Vault Server已正常連接可管理的情況下狀態會顯示為“Primary”,如果Database Firewall所在主機關機或其它不可連接情況狀態會為“offline”。通過點擊注冊時設置的防火牆名稱可以查看此時防火牆狀態的詳細信息。
Oracle AVDF配置截圖(六)
l 部署配置
初始的配置完成後,以後基本上所有的工作都只需要登錄AuditVault Server就可以完成。接下來就實驗將Oracle Audit Vault andDatabase部署到生產環境中去,查看其對於安全目標的保護。這裡的安全目標是一個正在使用的ZLHIS數據庫。注意因為Audit Vault Agent是java語言編寫的代理插件,要求安全目標主機需要用安裝有JDK1.5及以上版本。
登錄Audit Vault Server的Web控制台選擇“主機”標簽下面的“代理”菜單,點擊右側的“下載代理”按鈕下載AuditVault Agent代理插件。
Oracle AVDF配置截圖(七)
在安全目標主機上部署並激活Audit Vault Agent代理插件。設置好JAVA_HOME後在安全目標主機上執行“java -jar agent.jar -d安裝目標目錄名”進行部署(該命令執行完成會將jar包部署到安裝目標目錄中去)。然後在安全目標主機上切換目錄到安裝目標目錄下,執行“./bin/agentctlactivate”激活代理插件。
插件激活後以管理員身份登錄Audit Vault Server,選擇“主機”標簽下的“主機”菜單,點擊右側的“注冊”按鈕將安全目標主機注冊到AuditVault Server(主機名欄由自行定義,主機IP為安全目標主機IP地址),保存設置。
Oracle AVDF配置截圖(八)
接下來激活上面注冊的主機(此操作主要是生成一個代理激活密鑰)。在“主機”菜單下選擇剛才注冊的主機,點擊右側激活按鈕。成功激活後會在“代理激活密鑰”欄生成一個密鑰,然後使用生成的激活密鑰來啟動安全目標主機的代理插件。在安全目標主機上切換目錄到安裝目標目錄下,執行“./bin/agentctl start –k key(代理激活密鑰,即下圖中的GE4D-ZCQF-U2TB-QKO7-TBC1)”起動代理插件。Audit Vault Agent代理插件啟動後“代理狀態”欄會變成“Running”狀態,否則表示目標主機代理未啟動成功。
Oracle AVDF配置截圖(九)
安全目標主機注冊完成後就需要對該主機上需要受保護的數據庫目標進行注冊。AuditVault Server,“受保護目標”標簽下的“目標”菜單點擊注冊,填寫受保護目標的注冊信息,並保存。注意,受保護目錄位置的格式與受保護目標類型相關,示例圖片中都是以Oracle數據庫為例。如果是其它操作系統或數據庫填寫格式請參考官方手冊。
Oracle AVDF配置截圖(十)
受保護目錄注冊完成後就可以為受保護的目錄配置“審計線索”和“強制點”(即前文中提到的審計數據源和執行點。審計線索是告訴代理插件將哪裡審計數據發送回Audit Vault Server服務器,強制點則是確定防火牆工作於何種模式下、使用的是哪一個防火牆。)
同上,Audit Vault Server,“受保護目標”標簽下的“審計線索”菜單點擊添加,填寫審計線索信息。審計線索信息簡單些可以作如下理解,即從哪台主機的哪一個受保護目標下的哪個位置獲取審計數據。詳細定義請參見官方手冊,涉及審計線索類型較多此處不再贅述。
Oracle AVDF配置截圖(十一)
審計線索菜單下默認顯示已添加的審計線索及其收集狀態。可以通過右側的啟動或停止按鈕改變收集狀態。收集狀態欄顯示綠色向上的箭頭表示為啟動狀態,紅色的向下箭頭則表示停止狀態。
Oracle AVDF配置截圖(十二)
審計線索添加完成接著選擇“強制點”菜單,創建強制點。強制點信息內主要是確定防火牆針對哪一個受保護的目標,采取什麼樣的監視模式。除強制點名稱外,其余內容都是之前配置好的對你選擇使用即可。
Oracle AVDF配置截圖(十三)
那麼至此,對於Oracle Audit Vault andDatabase Firewall在生產環境中的部署就已全部完成。接下來就可以以審計者的身份登錄AuditVault Server來指定需要執行一些什麼樣的審計操作和防火牆遵循什麼樣的規則來監視SQL流量,以及查看已設置策略的工作情況、生成的審計報告和防火牆攔截報告等工作。