天融信数据库审计系统TADB用户手册概要.docx
《天融信数据库审计系统TADB用户手册概要.docx》由会员分享,可在线阅读,更多相关《天融信数据库审计系统TADB用户手册概要.docx(119页珍藏版)》请在冰豆网上搜索。
天融信数据库审计系统TADB用户手册概要
天融信数据库审计系统
TA-DB
V3.1.002
用户手册
天融信
TOPSEC®
北京市海淀区上地东路1号华控大厦100085
电话:
+8610-82776666
传真:
+8610-82776677
服务热线:
+8610-8008105119
版权声明
本手册中的所有内容及格式的版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。
版权所有不得翻印©2013天融信公司
商标声明
本手册中所谈及的产品名称仅做识别之用。
手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。
TOPSEC®天融信公司
信息反馈
1前言
本手册主要介绍天融信数据库审计系统(TA-DB)的配置使用和管理。
通过阅读本文档,用户可以了解天融信数据库审计系统的主要功能,并根据实际应用环境安装和配置天融信数据库审计系统。
1.1文档目的
本文档主要介绍如何配置该系统。
通过阅读本文档,用户能够正确地配置系统,并综合运用该系统提供的多种安全管理方法,有效地管理网络中的安全设备,实现高效可靠的统一管理。
1.2读者对象
本用户手册适用于具有基本网络知识的系统管理员和网络管理员阅读。
1.3约定
本文档遵循以下约定。
图形界面操作的描述采用以下约定:
“”表示按钮。
点击(选择)一个菜单项采用如下约定:
点击(选择)高级管理>特殊对象>用户。
文档中出现的提示、警告、说明、示例等,是关于用户在安装和配置天融信数据库审计系统过程中需要特别注意的部分,请用户在明确可能的操作结果后,再进行相关配置。
1.4技术服务体系
天融信公司对于自身所有安全产品提供远程产品咨询服务,广大用户和合作伙伴可以通过多种方式获取在线文档、疑难解答等全方位的技术支持。
公司主页
在线技术资料
安全解决方案
技术支持中心
天融信全国安全服务热线
800-810-5119
2产品简介
天融信网络审计系统(TA-DB)是由北京天融信公司自主研发,面向企业级用户,集行为监控与内容审计为一体的产品。
它以旁路的方式部署在网络中,不影响网络的性能,且该产品的万兆平台支持串联方式接入网络,实现串联网络环境下的数据监听和审计。
具有实时的网络数据采集能力、强大的审计分析功能以及智能的信息处理能力。
通过使用该系统,可以实现如下目标:
Ø监控用户的数据库操作行为、审计用户的网络传输内容。
Ø实现网络行为报警以及后期取证。
Ø实现对网络各应用流量的统计分析。
该产品适用于对信息保密、非法信息传播/控制比较关心的单位,或需要实施网络行为监控的单位和部门,如政府、军队机关的网络管理部门,公安、保密、司法等国家授权的网络安全监察部门,金融、电信、电力、保险、海关、商检、学校、军工等各行业网络管理中心,以及大中型企业网络管理中心
等。
注意:
TA-DB所能监控与审计的协议因客户购买的授权许可不同,会存在一定的差别。
3界面基本操作
简单介绍一下界面的基本操作。
1)管理员在管理主机的浏览器上输入TA-DB的管理URL。
如,https:
//192.168.1.254,弹出如下登陆页面。
2)输入用户名密码后(默认出厂用户名/密码为:
superman/talent),点击“登录”,就可以进入管理页面。
管理界面默认显示系统状态,包括:
硬盘利用率、CPU利用率、内存利用率
系统界面主要分为三个部分,如下图
Ø头部区域
Ø导航栏
Ø主显示区域
界面头部用于选择操作的子模块,显示重要信息。
如下图
通过头部的菜单显示模式选择功能可以实现菜单显示的切换,目前支持以下三种模式:
Ø精简模式,适合用户日常操作使用
Ø高级模式,适合对系统进行高级配置使用
Ø专家模式,适合对系统有高度了解的专业人员使用
导航栏与主显示区域因具体模块不同而显示不同,在此不做具体说明。
在系统管理模块>系统状态>系统license配置界面中可以查看系统的授权信息、最终客户名、系统型号、版本号、购买的各功能模块开启情况。
4系统管理
4.1系统状态
系统状态包括系统状态和系统License配置。
系统状态中显示系统设备状态,系统License配置中显示系统基本信息和证书信息。
选择系统管理>系统状态>系统状态,进入设备监控页面。
分为两部分,分别是当前设备和下级设备。
在左边菜单栏显示如下:
1)修改、添加监控模块。
右侧主界面显示如下:
显示当前所有监控的主机信息。
包括被监控对象设备号、设备IP地址、所监控模块、连接状态以及连接测试功能,当添加了监控对象后,可以点击连接测试,可以测试网络是否通畅。
选择“监控模块配置”。
按照上图提示步骤1、2,选中设备并点击监控模块配置,弹出配置信息对话框如下:
点击添加(同样在此选中模块并点击删除和修改,可以对设备监控模块进行修改)
按照图示,选择好所要监控模块,以及显示的图例类型和颜色,并点击保存,则配置完成。
2)查看本机详细信息:
点击左侧菜单中的当前设备>localhost,在右将显示其所监控对象信息,如下图:
查看下级设备的步骤和查看本机一致,只要在左侧菜单选中相应的设备,即在主窗口显示出来。
4.2系统配置
系统配置包括系统web界面配置、网络主机名配置、系统主机名配置、系统配置管理、接口配置、路由配置、系统时间配置、磁盘管理、系统访问控制、设置向导页、网络接口配置、安装包管理。
4.2.1系统web界面配置
管理员通过系统WEB页面配置,可以配置WEB页面的登录超时时间和登录重试次数和锁定时间,在WEB管理页面上,进入系统管理>系统配置>系统WEB页面配置,可以看到配置框。
配置完成后点击“保存”按钮就能完成配置。
注意:
配置保存成功后必须重启HTTPD服务才能是配置生效,用户可以选择立即重启,也能稍后在服务管理模块中手动重启HTTPD服务,服务重启后用户必须重新登录。
4.2.2网络主机名配置
管理员通过网络主机名配置可以配置主机与名称的对应关系,在WEB管理页面上,点击系统管理>系统配置>网络主机名配置,进入网络主机名管理页面,可以对主机名进行添加,修改和删除操作。
1)添加网络主机名:
点击“添加网络主机名”按钮,在弹出的配置框中进行网络主机名配置。
(主机名不支持特殊字符)
配置完成后点击“保存”按钮完成配置。
2)修改网络主机名:
在列表中选择需要修改的网络主机。
点击“修改网络主机”按钮,在弹出的配置框里进行信息修改,点击“保存”按钮完成修改。
3)删除网络主机:
在列表中选择需要删除的网络主机。
点击“删除网络主机”按钮,在弹出的提示框里点击“是”按钮完成删除。
4.2.3系统主机名配置
管理员通过系统主机名配置可以配置系统主机名称和DNS服务器,在WEB管理页面上,进入系统管理>系统配置>系统主机名配置,进入配置界面,配置完成后点击“保存”按钮完成配置。
4.2.4系统配置管理
管理员通过系统配置管理可以对系统配置进行管理配置,在WEB管理页面上,进入系统管理>系统配置>系统配置管理,进入配置界面,可以对系统配置进行保存、导入、导出和恢复出厂设置。
1)配置保存:
点击“配置保存”按钮,页面弹出保存进度条,进度条结束后配置保存操作结束,下次系统重启后将加载保存的配置。
2)配置导出:
点击“配置导出”按钮,页面弹出配置文件下载框,用户可以将配置文件下载到本机上。
注意:
在IE浏览器上必须把下载选项全都选上,以免文件下载框无法弹出。
3)配置导入:
点击“配置导入”按钮,页面弹出文件上传提示框,用户可以选择本机上的配置文件,点击“上传”按钮,完成配置导入。
注意:
配置导入成功后系统配置将马上生效。
4)恢复出厂配置:
点击“恢复出厂配置”按钮,系统将导出出厂的配置文件,系统配置将即时恢复到出厂时。
4.2.5接口配置
管理员通过接口配置可以对系统接口进行管理配置,在WEB管理页面上,进入系统管理>系统配置>接口配置,进入系统接口列表界面,可以对系统网络接口配置进行添加IP,修改IP,删除IP,启用接口,停用接口操作。
1)添加接口IP:
点击“添加接口IP”按钮,在弹出的接口配置页面中可以配置接口的IP地址和掩码,配置结束后点击“保存”按钮完成操作。
2)修改接口IP:
在接口列表中选择需要修改的接口,点击“修改接口IP”按钮,在弹出的接口配置页面中可以修改IP地址和掩码(可以添加ipv6地址),配置结束后点击“保存”按钮完成操作。
3)删除接口IP:
在接口列表中选择需要删除的接口,点击“删除接口IP”按钮,完成操作。
4)启用接口:
在接口列表中选择需要启用的接口,点击“启用接口”按钮,完成操作。
5)停用接口:
在接口列表中选择需要停用的接口,点击“停用接口”按钮,完成操作。
4.2.6路由配置
管理员通过路由配置可以对系统路由进行管理配置,在WEB管理页面上,进入系统管理>系统配置>路由配置,进入系统路由列表界面,可以对系统路由进行添加,删除操作。
1)添加路由:
点击“添加路由”按钮,在路由配置页面中可以配置路由的目的地址和网关、网口,配置完成后点击“保存”按钮完成操作。
2)删除路由:
在列表中选择要删除的路由,点击“删除路由”按钮,完成操作。
4.2.7系统时间配置
系统时间配置模块可以设置系统的时间、日期、时区信息,以及配置用于系统同步时间的NTP(NetworkTimeProtocol网络时间协议,计算机时间同步化的一种协议)服务器。
选择系统管理>系统配置>系统时间配置,进入系统时间配置页面。
系统时间配置模块右侧是时间设定面板,可以设定系统时间、时区等信息。
界面右下方有两个按钮。
“保存”按钮可以保存当前在右侧设定面板内设定的各项设置。
“重置”按钮可以重置未保存的修改。
当您需要修改系统日期时,请单击日期框的右侧“日历”按钮。
此时,将弹出一个微型日历。
您可以点击选择年、月、日或点击“今天”按钮选择当前操作系统的时间。
当您需要修改系统时间时,您可以点击时间下拉框右方的下拉按钮选择整数时间,或直接输入需要设置的时间,时间格式为:
“时:
分:
秒”。
当您需要修改系统时区时,请单击“修改系统时区”按钮,系统将会列出所有时区选项。
单击您所要修改的时区,然后点击“保存”按钮保存设置。
需要注意的是,系统时间、日期和失去修改后,均需要点击面板右下角的“保存”按钮,保存配置才能生效。
若您的工作网络内架设有NTP服务器,并且您想通过其校准设备时间。
您可以点击NTP服务器设置框的“添加”按钮。
在弹出的“添加NTP服务器”对话框中输入服务器的IP地址或域名,随后点击“添加”后保存设置。
若添加正常,右侧NTP服务器列表将出现刚才添加的NTP服务器地址。
添加成功后,建议您使用系统测试功能测试添加的NTP服务器是否可以正常使用。
用鼠标选中刚刚添加的NTP服务器地址,并点击“测试”按钮。
若出现“测试成功”字样的提示框,则表明设备可以与NTP服务器正常联通并校准时间。
反之表明设备无法取得NTP服务器的信息,请检查添加的NTP服务器IP地址或域名是否正确。
当您成功设置了一台以上的NTP服务器后,您可以点击“同步”按钮进行时间同步。
要注意的是,若您已经添加了多台NTP服务器,系统将按ID的先后顺序同步系统时间,并以最先成功同步的NTP服务器返回的时间为准。
同步的时候注意NTP服务器的NTP服务必须打开,本机的NTP服务停止,在系统服务中可以配置。
4.2.8磁盘管理
点击系统管理>系统配置>磁盘管理,能够显示当前系统的磁盘使用情况,并能对磁盘数据进行备份、清理操作。
4.2.8.1磁盘状态
磁盘状态显示数据对象占用磁盘空间大小,以饼状或柱状图形显示磁盘状态,点击“
”实现图形的切换。
4.2.8.2数据备份
手动备份数据就是根据用户手动添加的规则,进行数据备份工作。
选择要备份的数据对象:
下拉列表中会显示系统中可备份的数据源类型。
时间对象选项中填写一个数字,这个数字代表备份多少天之前的数据,例如填1,代表删除一天以前的数据,我们这里规定一天以前的数据就是昨天的数据。
图中30代表备份30天以前的数据。
备份服务器是预先配置好的ftp服务器,数据将备份到这台指定的服务器上。
(关于ftp服务器配置请参见4.4服务对象管理)
是否保留备份数据:
有两个选项,一个是保留,一个删除。
保留就是在备份完成以后,还保留原来系统中的数据不删除。
删除则是在备份完成以后,将已经备份完成的部分的数据删除。
点击数据备份按钮,系统就会按照前面填好的配置进行备份工作。
数据备份规则是用户添加备份的规则,配置好以后不需要人工操作,而由后台程序检查符合条件定期执行。
点击添加,如下图所示:
磁盘利用率上升至百分之多少的时候执行备份工作,这是激活备份功能的条件。
注意,这里的磁盘利用率只能填0-100的10的倍数,如30,50,70,以70为例,它代表磁盘利用率为70%~79%这之间的任何一个利用率状态,而添加55这类的数字,则不会被系统识别,因为磁盘利用率刚好达到55%这个离散的点的概率太低,不便于满足实际的操作效果。
其他四项和手动备份中的选项意义相同。
点击保存,规则就添加完成了。
当系统磁盘的利用率到达70%的时候,系统会自动备份30天以前的还原数据到ftp_test服务器上,并且保留原来的数据。
4.2.8.3数据清理
数据清理模块帮助用户清理过期无效数据。
可以手动清理或自定义数据清理规则。
1)手动清理数据。
磁盘清理需要配置要清理的数据对象,如下图,在数据对象的下列表中选择想要清理的数据源,在时间对象中填入一个整数,这个整数代表删除多少天以前的数据。
例如,下图中的配置代表清理30天以前的还原数据。
点击右侧的数据清理按钮,系统立即执行清理工作。
2)数据清理规则是用户添加备份的规则,配置好以后不需要人工操作,而由后台程序检查符合条件定期执行。
点击“添加”,在规则选项页面配置好参数“保存”。
规则添加完成。
磁盘利用率上升至百分之多少的时候执行备份工作,这是激活备份功能的条件。
注意,这里的磁盘利用率只能填0-100的10的倍数,如30,50,70,以80为例,它代表磁盘利用率为80%~89%这之间的任何一个利用率状态,而添加55这类的数字,则不会被系统识别,因为磁盘利用率刚好达到55%这个离散的点的概率太低,不便于满足实际的操作效果。
数据对象是要清理的数据源类型,时间对象这里填入一个整数,代表清理多少天以前的数据。
当系统磁盘的利用率到达80%的时候,系统会自动清理30天以前的统计分析数据。
4.2.9系统访问控制
系统访问控制可以禁止某些IP或IP域访问TAW设备。
你若需要禁止某些IP或IP域访问TAW设备,请点击“添加”按钮,并在弹出的输入框中输入要禁止的IP地址(域)。
允许的格式有标准的IP地址格式(如192.168.71.1)或CIDR格式(如192.168.71.0/24)。
IP地址格式支持IPV6。
若添加成功,列表中将会显示您刚才添加的IP地址(域)。
当所有需要禁止的IP地址或地址域均已添加后,请单击“启用访问控制”按钮,使您的当前设置生效。
若您需要查看当前访问控制的运行状态,请点击“访问控制状态”按钮,系统会返回访问控制进程当前的状态。
FirewallisStop表明访问控制处于禁用状态,FirewallisRunning表明访问控制处于启用状态,并在中括号内显示访问控制的进程ID。
4.2.10设置向导页
设置向导页模块,指导用户方便快捷的完成审计策略的配置。
包括:
数据采集规则,协议端口匹配规则,协议自动匹配规则,以及审计级别配置。
点击系统管理>系统配置>设置向导页,进入设置向导页。
选择“点击进入”进入数据采集规则页面,设置数据采集规则。
设置完毕后依次点击“下一步”,可以进入“协议端口匹配规则”、“协议自动匹配规则”、“审计级别设置”页面。
分别在各设置页面进行设置,快速完成系统审计策略的配置。
各页面的规则配置请参见5.7审计策略。
4.2.11网络接口配置
网络接口配置模块,在系统串联时应用。
在此不做详述。
4.2.12安装包列表
安装包管理中列出了产品出厂时灌装的数据包,每个数据包都有自己的功能。
列表中详细的介绍了数据包的信息,例如版本、编译次数、支持平台、状态等等。
可以选择某个已安装的数据包“更新”、“卸载”,未安装的可以选择“安装”,也可以选择安装包“上传”。
具体的操作步骤在此不一一阐述。
4.3服务管理
服务管理模块列出了当前系统安装的所有服务模块,您可以在此统一管理系统的各项服务的开启、关闭和一些必要设置。
如图所示,每行都对应一项服务。
第一列显示的是服务的名称,该列是唯一的;
第二列显示的是服务的服务状态。
状态若为“Stop”则表明此服务处于停止状态,若为Running[进程ID值,则表明此服务处于启动状态,其中括号中的数值代表服务的进程ID号](可以有一个或多个)。
第三至五列为服务的操作按钮,“启动服务”,“重新启动”,“停止服务”,“服务配置”几个按钮,分别对应着服务的“启动”,“重新启动”,“停止”及“配置”四种操作。
需要注意的是,服务有可能没有扩展配置,所以有些服务无法点击“服务配置”是正常的。
第六列显示的是服务的描述信息,简单描述该服务的用途。
您若要启动某项服务,请点击该服务列中的“启动服务”列中的图标,并在弹出的确认提示框中点击“是”,即可启动该服务。
停止与重新启动服务的操作与启动服务的操作类似,点击相应列中的图标即可。
当您需要设置某项服务的扩展设置时(如SNMP服务),请点击“服务配置”列中的图标,页面将会跳转至该服务的配置页面。
需要注意的是,在您配置结束时,您需要点击右下角的“保存”按钮保存您的设置。
“返回列表”按钮可以帮助您在配置结束时返回服务管理模块页面。
4.4服务对象管理
服务对象管理包括SMTP服务器配置、防火墙联动配置、FTP服务器配置。
在此模块主要完成服务对象的添加、删除和修改功能。
1)SMTP服务器配置
主菜单中依次点击:
系统管理>服务对象管理>SMTP服务器配置。
进入SMTP服务器配置页面。
添加配置:
点击“添加”。
按照要求,填入相应配置信息,点击“添加”保存并退出。
修改配置:
选中需要配置的服务,点击修改,弹出如下配置窗口。
按照提示,修改相应参数,修改完成后点击“修改”进行保存退出。
删除配置:
选中需要删除的服务,点击“删除”。
测试服务:
添加完后,选中目标服务器,点击“测试”弹出如下对话框,填入接收人邮箱地址,点击“测试”,发送成功后会提示用户登录接收人邮箱,并查看测试邮件是否正常接受,否则提示测试失败。
2)防火墙联动配置
主菜单中依次点击:
系统管理>服务对象管理>防火墙联动配置。
进入防火墙联动配置页面。
添加配置:
点击“添加”。
按照要求,填入相应配置信息,点击“添加”保存并退出。
删除配置:
选中需要删除的服务,点击“删除”。
测试服务:
添加完后,选中目标服务器,点击“测试”,进行防火墙通信测试。
(注意:
防火墙联动目前只支持天融信防火墙,防火墙密钥需要在防火墙上去获取。
)
3)FTP服务器配置
主菜单中依次点击:
系统管理>服务对象管理>FTP服务器配置,进入FTP服务器配置页面。
添加配置:
点击“添加”,弹出添加服务配置对话框。
按照要求,填入相应配置信息,点击“添加”保存并退出。
删除配置:
选中需要删除的服务,点击“删除”。
测试服务:
添加完服务器后,选中目标服务器,点击“测试”,进行FTP通信测试,成功返回。
4.5下级设备管理
系统下级设备管理模块可以指导您方便的添加、删除和管理下级设备。
若要使用该模块,请先将系统设置为“高级模式”或“专家模式”,而后您便能在“系统管理”菜单中看到“下级设备管理”选项卡。
在添加下级设备之前,请首先在要添加的下级设备中确认以下事项:
1)下级设备已正常启动并完成初始化工作。
2)下级设备已经添加一个适用于远程管理的用户。
该用户所属的角色需要有设备的服务管理权限和查看设备状态的权限。
3)下级设备已经正确设置webservices服务并以成功开启该服务。
您可在下级设备菜单中,选择系统管理>服务管理,在菜单中查找webservices项目,若服务状态显示为Running,则表明服务已成功开启。
下级设备管理:
您可以点击“添加”按钮,并在弹出的“下级设备选项”对话框的“下级设备webservices通讯设置”中填入要添加的下级设备的必要信息。
其中IP地址为下级设备的IP地址;通讯端口为下级设备webservices的服务端口(默认为8888);认证用户名及密码为webservices通讯时使用的用户认证信息;部署方式为“多点设备”或“多级设备”两种。
填写完这些信息后,请点击“获取下级信息”按钮。
这时设备会自动获取下级的设备相关信息。
获取的信息会显示在“下级设备配置”框中,包括“设备ID”,“设备名称”,“设备服务地址”(注:
为空则使用下级的默认的IP地址),“设备服务端口”这四项。
请首先核对设备ID是否与要添加的下级设备ID匹配。
您可以更改“设备名称”项,使用您便于记忆的设备名称。
默认获取的是设备注册时的名称信息。
确认无误后,点击“添加”按钮。
若添加成功,您可在设备列表中看到刚添加的设备信息。
若您要删除某个下级设备,您可以在列表中选择要删除的行,并点击“删除”按钮。
若您要修改某个下级设备设置,您可以在列表中选择要修改的设备,并点击“修改”按钮。
需要注意的是,修改设备对话框不支持您修改设备的IP地址及部署方式,您若已经改变设备的IP地址及部署方式,应将旧设置删除而后添加新的设置。
常见错误信息:
添加、修改下级设备属性时,系统会检测当前的下级设备树(由设备上下级部署模式构成的一棵树形结构),检测通过后会执行预制命令设置下级节点。
倘若不符合部署规范,或运行命令时出错,系统会弹出提示。
常用的提示有:
Addnodeislocalhost.
表明添加的下级设备ID号与本机(上级设备)相同,请检查您的设置信息是否正确。
Addnodehaslocalhostsubdeviceincurrenttopology.
表明本机节点已经存在于要添加的下级设备的下级树中,部署模式禁止这种添加方式。
Addnodeisasubdeviceincurrenttopology.
表明加的下级设备已经在设备下级树中,您不能重复添加下级设备。
Ordersubdevicefailed.Errorcli:
[错误信息]
表明在下级设备上执行预制操作命令时失败,并显示失败的命令。
执行失败可能是