avdf12c安装篇Word文件下载.docx
《avdf12c安装篇Word文件下载.docx》由会员分享,可在线阅读,更多相关《avdf12c安装篇Word文件下载.docx(14页珍藏版)》请在冰豆网上搜索。
前期准备
在安装之前请按前文所述下载好完整的安装介质。
需要注意:
最新版本的OracleAuditVaultandDatabaseFirewall目前仅能安装在OracleEnterpriseLinux5.8x86_64及以上的版本之上。
由于防火墙工作原理的特殊性要求安装防火墙的主机至少需要配备2张网卡,如果需要防火墙工作在DPE模式下则至少需要3张网卡。
同时要求安装AuditVaultServer和DatabaseFirewall的主机至少需要2GB的内存和125GB的硬盘空间。
最后,在正式安装之前请确认用于安装的这两台主机都只是用于AuditVaultandDatabaseFirewall,并且已经将其中重要数据备份。
因为在安装时会重新生成内核镜像并对硬盘自动重新分区格式化。
1.2.
正式安装
确认安装介质的一定要下载完整,以下的3个镜像文件缺一不可:
OracleAVDF安装介质
先安装AuditVaultServer。
将镜像文件刻录好的AuditVaultServer安装光盘放入光驱,启动计算机开始安装,自动加载安装信息后会提示需要插入OracleEnterpriesLinux系统光盘。
此时退出AuditVaultServer安装盘,插入OEL(OracleEnterpriesLinux)安装盘后选择OK。
OracleAVDF安装截图
(一)
识别插入的OEL光盘,并验证安装所需要的包的依赖关系后,开始自动安装。
该安装过程其实是先安装了OEL操作系统(但系统内核镜像文件是根据AuditVaultServer要求重新生成的),然后再OEL系统上安装AuditVaultServer。
OracleAVDF安装截图
(二)
操作系统安装结束后会提示插入AuditVaultServer的安装光盘,其后的安装步骤才是真正安装AuditVaultServer了。
同样,更换光盘后选择OK,系统将自动运行安装并应用配置脚本。
OracleAVDF安装截图(三)
安装并应用默认配置脚本(根据机器配置情况,此过程花费时间相对较长)。
OracleAVDF安装截图(四)
安装并应用默认脚本后会提示设置一个”安装密码”,这个密码短语在以后通过控制台关机等情况下需要使用它(设置后需要记住,安装密码会要求重复输入两次,如果密码设置太过简单系统会提示是否确认设置该密码)。
OracleAVDF安装截图(五)
最后系统会自动识别到当前主机上所配备的所有网络,并要求选择其中一张网卡作为管理接口。
选择作为管理接口的网卡后会显示该网卡相关的信息,并要求设置管理接口IP地址等。
OracleAVDF安装截图(六)
设置管理接口IP地址。
OracleAVDF安装截图(七)
管理接口IP地址设置好之后,选择最后一项重起完成安装(重起的过程也会稍微有点长,因为重起时会为AuditVaultServer安装并配置以后存储资料的Oracle数据库)。
成功重起后控制台界面如下图示。
在此界面可以实现更改IP地址、设置操作系统用户密码(root、support两用户)、更改安装时设置的密码以及关机等操作。
这些功能在AuditVaultServer提供的Web控制台中都可以完成。
到此,AuditVaultServer的安装全部完成,后续的所有操作都将在Web控制台中来完成了。
OracleAVDF安装截图(八)
AuditVaultServer安装完成后,就可以安装DatabaseFirewall(这两者的安装顺序不用严格区分先后)。
DatabaseFirewall的安装步骤与AuditVaultServer完全一样,其中也会有两次提示更换安装光盘、设置安装密码和管理接口IP地址等。
配置部署
l
初始配置
在正式部署使用之前还需要先完成一些初始的设置,这些设置包括操作系统的用户密码(root和support用户的)、登录AuditVaultServer和DatabaseFirewall的管理员和审计者的密码、当前所在时区、时间、所使用的键盘类型以及将DatabaseFirewall注册到AuditVaultServer等设置。
注意,由于Web访问采用了HTTPS协议,所以在首次使用Web控制台登录AuditVaultServer或DatabaseFirewall时会提示安装安全证书。
并且在首次登录时会要求输入安装时设置的密码短语,密码短语验证通过后会自动转到设置AuditVaultServer、DatabaseFirewall的管理员和审计者以及操作系统用户的密码的页面。
OracleAVDF配置截图
(一)
初始用户名、密码设置,用户名密码设置完成后就可以刚才设置的用户名和密码进行登录并作其它设置了(主要需要完成当前时区、时间和键盘类型的设置,其设置都较了简单这里不再赘述)。
OracleAVDF配置截图
(二)
用户名、密码及日期时间这些基本要素设置好以后,现就可以以管理员身份登录AuditVaultServer和DatabaseFirewall然后将DatabaseFirewall注册到AuditVaultServer中去。
因为DatabaseFirewall本身不论是命令行还是Web控制台都没有提供对自身完整的配置和管理功能,其绝大部分的管理和配置都需要借助于AuditVaultServer来完成。
并且对于企业级的有批量部署的需求来讲,通过AuditVaultServer集中进行管理配置将更加方便。
登录AuditVaultServer控制台后,在“设置”标签下选择“证书”菜单,然后将右侧服务器证书框中的内容全部复制到DatabaseFirewall中。
因为AuditVaultServer以后将承担管理和配置DatabaseFirewall的任务,所以其向DatabaseFirewall提供证书的目的在于向DatabaseFirewall中标识自己的合法身份。
OracleAVDF配置截图(三)
复制AuditVaultServer中的证书后,在DatabaseFirewall控制台的“System”标签下选择“AuditVault服务器”。
然后将所复制的证书内容粘贴到证书栏中去,在AuditVault服务器IP地址栏内填写好AuditVaultServer主机的IP地址,并保存设置。
OracleAVDF配置截图(四)
完成在DatabaseFirewall中标识AuditVaultServer主机的身份后,返回AuditVaultServer控制台。
选择“防火墙”标签下的“防火墙”菜单,在注册防火墙表单中填写防火墙名称(防火墙名称自行定义)和所在主机的IP地址,并确认注册。
OracleAVDF配置截图(五)
由于此前已在DatabaseFirewall中标识了AuditVaultServer主机的身份,所以确认注册后AuditVaultServer就会连接并接手对DatabaseFirewall的管理。
此时在AuditVaultServer中就可以对DatabaseFirewall主机进行重起、关机、删除注册等操作。
注意,如果只部署了一台DatabaseFirewall并且AuditVaultServer已正常连接可管理的情况下状态会显示为“Primary”,如果DatabaseFirewall所在主机关机或其它不可连接情况状态会为“offline”。
通过点击注册时设置的防火墙名称可以查看此时防火墙状态的详细信息。
OracleAVDF配置截图(六)
部署配置
初始的配置完成后,以后基本上所有的工作都只需要登录AuditVaultServer就可以完成。
接下来就实验将OracleAuditVaultandDatabase部署到生产环境中去,查看其对于安全目标的保护。
这里的安全目标是一个正在使用的ZLHIS数据库。
注意因为AuditVaultAgent是java语言编写的代理插件,要求安全目标主机需要用安装有JDK1.5及以上版本。
登录AuditVaultServer的Web控制台选择“主机”标签下面的“代理”菜单,点击右侧的“下载代理”按钮下载AuditVaultAgent代理插件。
OracleAVDF配置截图(七)
在安全目标主机上部署并激活AuditVaultAgent代理插件。
设置好JAVA_HOME后在安全目标主机上执行“java-jaragent.jar-d安装目标目录名”进行部署(该命令执行完成会将jar包部署到安装目标目录中去)。
然后在安全目标主机上切换目录到安装目标目录下,执行“./bin/agentctlactivate”激活代理插件。
插件激活后以管理员身份登录AuditVaultServer,选择“主机”标签下的“主机”菜单,点击右侧的“注册”按钮将安全目标主机注册到AuditVaultServer(主机名栏由自行定义,主机IP为安全目标主机IP地址),保存设置。
OracleAVDF配置截图(八)
接下来激活上面注册的主机(此操作主要是生成一个代理激活密钥)。
在“主机”菜单下选择刚才注册的主机,点击右侧激活按钮。
成功激活后会在“代理激活密钥”栏生成一个密钥,然后使用生成的激活密钥来启动安全目标主机的代理插件。
在安全目标主机上切换目录到安装目标目录下,执行“./bin/agentctlstart–kkey(代理激活密钥,即下图中的GE4D-ZCQF-U2TB-QKO7-TBC1)”起动代理插件。
AuditVaultAgent代理插件启动后“代理状态”栏会变成“Running”状态,否则表示目标主机代理未启动成功。
OracleAVDF配置截图(九)
安全目标主机注册完成后就需要对该主机上需要受保护的数据库目标进行注册。
AuditVaultServer,“受保护目标”标签下的“目标”菜单点击注册,填写受保护目标的注册信息,并保存。
注意,受保护目录位置的格式与受保护目标类型相关,示例图片中都是以Oracle数据库为例。
如果是其它操作系统或数据库填写格式请参考官方手册。
OracleAVDF配置截图(十)
受保护目录注册完成后就可以为受保护的目录配置“审计线索”和“强制点”(即前文中提到的审计数据源和执行点。
审计线索是告诉代理插件将哪里审计数据发送回AuditVaultServer服务器,强制点则是确定防火墙工作于何种模式下、使用的是哪一个防火墙。
)
同上,AuditVaultServer,“受保护目标”标签下的“审计线索”菜单点击添加,填写审计线索信息。
审计线索信息简单些可以作如下理解,即从哪台主机的哪一个受保护目标下的哪个位置获取审计数据。
详细定义请参见官方手册,涉及审计线索类型较多此处不再赘述。
OracleAVDF配置截图(十一)
审计线索菜单下默认显示已添加的审计线索及其收集状态。
可以通过右侧的启动或停止按钮改变收集状态。
收集状态栏显示绿色向上的箭头表示为启动状态,红色的向下箭头则表示停止状态。
OracleAVDF配置截图(十二)
审计线索添加完成接着选择“强制点”菜单,创建强制点。
强制点信息内主要是确定防火墙针对哪一个受保护的目标,采取什么样的监视模式。
除强制点名称外,其余内容都是之前配置好的对你选择使用即可。
OracleAVDF配置截图(十三)
那么至此,对于OracleAuditVaultandDatabaseFirewall在生产环境中的部署就已全部完成。
接下来就可以以审计者的身份登录AuditVaultServer来指定需要执行一些什么样的审计操作和防火墙遵循什么样的规则来监视SQL流量,以及查看已设置策略的工作情况、生成的审计报告和防火墙拦截报告等工作。
升级会员 