深信服信服云_Das的配置和案例V1.0.pptx

信服云_vDAS使用培训 课程内容课程目标vDAS产品概述了解vDAS的产品功能及用途vDAS部署介绍了解vDAS在托管云场景下架构，如何部署vDAS实践配置掌握在托管云场景下vDAS如何配置调试，最终实现效果，常规排错思路 1、vDAS产品概述2、vDAS部署方式3、vDAS实践配置 1、vDAS产品概述 数据库面临主要风险分布 SQL注入攻击 跨站攻击 恶意后门 数据库平台漏洞 应用与网站后门 权限过高 权限滥用 缺乏审计 明文存储 误操作 介质窃取 备份数据丢失 敏感数据明文存储外部威胁内部威胁APP/Web服务器黑客DBA系统维护人员开发测试人员数据分析人员SQL注入、跨站攻击、恶意后门......权限过高权限滥用误操作导出明文数据 传统审计缺陷 业务系统自身审计数据库自身审计无法记录脱离业务系统的操作日志无法独立完成，影响性能记录粒度不够细，甚至无法记录SQL语句影响数据库性能审计记录可读性差日志无法独立完成，记录无法与业务及人挂钩 通过监控数据库的多重状态和通信内容，准确评估数据库所面临的风险，并通过日志记录提供事后追查机制。APP/Web服务器黑客DBA系统维护人员开发测试人员数据分析人员SQL注入、跨站攻击、恶意后门......全面审计 权限过高权限滥用误操作导出明文数据数据库审计介绍 数据库审计原理数据库层传输控制层（TCP）网络层（IP）链路层SQL解析数据库协议重组TCP重组IP重组授权检验攻击检验审计数据包决策：接收、丢弃 2、vDAS部署方式 vDAS部署方式旁路镜像部署:DAS 设备在网络中以旁路方式部署，通过镜像口用于数据库的流量引入并通过DAS 进行审计，管理口提供策略配置、日志采集、查询报表等功能。agent部署方式：探针部署在数据库或应用服务器上抓取数据库的访问流量。抓取到的流量传递到 DAS 设备进行审计[该场景下要求agent 的机器和DAS设备必须网络可以互通访问]。 托管云场景vDAS部署架构在托管云场景下，租户使用的是VPC网络架构，在这种架构下使用agent部署的方式去部署vDAS。agent部署架构拓扑如下：Web控制台用户agentagentagentvDAS服务器Oracel数据库服务器SQL server数据库服务器MySQL数据库服务器 托管云场景vDAS部署第一步：进入VPC网络拓扑界面第二步：在左侧资源栏点击数据库审计（DAS）拖至任一网段即可第三步：选择对应性能规格，点击确定第四步：点击数据库审计（DAS）后点击“WEB控制台”即可单点登录DAS管理控制台 agent部署注意事项 Agent 支持以下 linux 发行版和 windos 服务器的 64 位操作系统：Centos 5\6\7Redhat 5\6\7Ubuntu 10\11\12\13\14Debian 6\7Windows 2008r2Windows 2012一体机（应用和 DB 在一台服务器上）环境下，应用访问数据库必须是通过网络连接的，不支持通过 socket 方式。Agent 使用 TCP 4567 端口与 DAS 设备进行通讯，网络中需要放通 TCP 4567端口。 agent部署-Linux1、在 root 帐户下执行 wget /agent/EPS2.0_Builtgz下载agent的安装包。2、在 root 帐户下解压 EPS2.0_Builtgz（解包tar -zxf [路径/文件名]），并运行 agent_install.bin 脚本进行安装。 agent部署-Windows2、解压 EPS2.0_Builtgz，双击 eps_agent.exe 安装，安装目录默认放在C:\Program Files\Sangfor\AC\EPS 下。提示 eps agent 安装成功，完成安装。1、打开windows的浏览器，访问/agent/下载agent安装包的压缩问下3、agent安装成功 3、vDAS实践案例 执行vim /opt/agent/config/das_agent.ini ，使用 vim编辑das_agent.ini文件，agent配置-Linux【server】此处 host 字段配置的 IP 地址即为 DAS 设备的业务口IP ，填写正确【capture】字段下需要配置的有 dev 和 filter 两个字段。 dev 用来指定抓包的接口，linux 下写接口名称即可，例如 eth0、lo 等；filter 用来过滤 agent 抓包的流量，用于客户环境中流量过大时，通过在配置文件中指定过滤条件来抓取特定的流量，减轻网络流量。 保存配置后，重启 bin 目录下的 eps_agent 服务，完成配置。Linu