自定义策略阻断举例

添加数据资产

1. 使用系统管理员sysadmin账号登录数据库运维管理系统。
2. 在左侧导航栏，选择“资产管理 > 资产配置”。
3. 单击页面右上角“添加”，在添加资产对话框中，设置资产信息。
   图2 添加数据资产
   
   

   请记录反向代理使用的端口号（9587），后续需要通过设备地址+代理端口访问数据资产。

4. 单击“保存”，保存数据资产的配置信息。

添加自定义策略

1. 使用系统管理员sysadmin账号登录数据库运维管理系统。
2. 在左侧导航栏，选择“策略防护 > 策略定义”。
3. 单击“SQL策略”页签新增一个策略组，在策略组列表区域，添加策略组。
4. 单击“添加策略组”，在弹出对话框配置策略组名称、基于策略组，单击“确定”。
   图3 新建策略组
   

5. 创建完成后，可单击策略组名称修改策略信息，修改完成后单击右上角“保存”。
6. 单击目标策略组，单击图标，设置策略名称和类型，单击“确定”。
   图4 添加策略
   

7. 单击策略名称，在策略详情页面修改策略信息，如图5所示，表示禁止root用户访问user表。
   图5 配置策略内容
   
   

   在策略详情中可以从多个维度设置策略信息，包括策略基本信息、资产信息、目标信息、访问信息和时间等。

8. 单击页面右上角“保存”，完成保存策略信息。

使用自定义策略生效

1. 使用系统管理员sysadmin账号登录数据库运维管理系统。
2. 在左侧导航栏，选择“策略防护 > 策略设置”。
3. 单击“基本配置”页签。进入页面后，在当前已选择资产下拉栏中，选择目标资产后，勾选“SQL策略”。
4. 单击编辑图标，勾选“策略组名称”，单击“确定”。
5. 单击页面右上角“策略应用”，使配置生效。
   

   每次修改策略组，都需要在策略设置中单击策略应用，使策略修改生效。

通过代理连接数据库

本示例以“DBeaver工具”为例，通过数据库运维安全管理系统代理连接到数据库。

图6 通过代理连接数据库

1. 单击“DBeaver工具”的图标，在选择新连接类型对话框中，选中“MySQL”。
2. 单击“下一步”。
3. 在设置MySQL连接对话框中，设置连接信息，如图6所示。
   • 服务器地址：使用代理服务器IP，即数据库运维安全管理系统的访问IP地址。例如192.168.12.59。
   • 端口：使用代理端口，例如9587。

4. 单击“测试链接”，测试是否能够连接到数据库。
5. 测试通过后，单击“下一步”，按照界面提示完成操作。

验证配置效果

1. 在DBeaver工具上，通过以下命令查询数据库mysql的user表信息。

   select user,host from mysql.`user`;

2. 如图7所示，查询操作被阻断。
   图7 查询user表及结果
   

3. 使用系统管理员sysadmin账号登录数据库运维管理系统。
4. 在左侧导航栏，选择“审计日志 > 日志检索”。
5. 单击“SQL日志”页签，单击“最新日志”，查看最新的审计日志信息。
6. 如图8所示，数据库运维安全管理系统已经可以审计到命中自定义策略的行为的日志。
   图8 查看审计日志