更新时间:2024-11-25 GMT+08:00
分享

客户端语句过滤白名单配置举例

此示例中通过配置客户端语句过滤白名单,如果流量匹配策略,则过滤目标审计日志。

本示例组网情况如图1 反向代理组网所示。

图1 反向代理组网
表1 组网说明

设备

说明

客户端

IP地址:192.168.1.10

数据库运维安全管理系统

IP地址:192.168.12.59

MySQL数据库

  • IP地址:192.168.11.78
  • 数据库版本:MySQL 5.7

添加数据资产

  1. 使用系统管理员sysadmin账号登录数据库运维管理系统
  2. 在左侧导航栏,选择资产管理 > 资产配置,在页面右上角单击“添加”
  3. 在添加资产对话框中,配置资产信息。

    图2 添加数据资产

    记录反向代理使用的端口号(9587),后续需要通过设备地址+代理端口访问数据资产。

  4. 单击“保存”,完成数据资产的配置信息。

通过代理连接数据库

本文以“DBeaver工具”为例,通过数据库运维安全管理系统代理连接到数据库。

  1. 单击“DBeaver工具”图标,在选择新连接类型对话框中,选中MySQL,单击下一步。
  2. 在设置MySQL连接对话框中,设置连接信息。配置信息如图4 通过代理连接数据库所示,其中:

    • 服务器地址:使用代理服务器IP,即数据库运维安全管理系统的访问IP地址。例如192.168.12.59。
    • 端口:使用代理端口,例如9587。
      图3 通过代理连接数据库

  3. 单击测试链接,测试是否能够连接到数据库。
  4. 测试通过后,单击下一步,按照界面提示完成操作。

生成客户端语句

  1. 在DBeaver工具上连接数据资产。
  2. 使用系统管理员sysadmin账号登录数据库运维管理系统
  3. 在左侧导航栏,选择审计日志 > 日志检索
  4. 单击“SQL日志”页签,单击最新日志,查看最新的审计日志信息,连接数据库时审计12条日志。

    图4 查看日志

  5. 单击“详情”,查看第一个SET操作日志信息,SQL内容如图5所示,记录SQL模式描述:“SET NAMES utf8mb4”

    图5 SET的SQL内容

添加客户端过滤白名单

  1. 使用系统管理员sysadmin账号登录数据库运维管理系统
  2. 在左侧导航栏,选择策略防护 > 策略定义
  3. 单击“客户端语句过滤白名单”页签,进入页面后,单击“添加”
  4. 在添加客户端语句过滤白名单对话框中,添加过滤信息。

    图6 添加过滤信息

  5. 单击“确定”,完成过滤信息添加操作。

配置策略生效

  1. 使用系统管理员sysadmin账号登录数据库运维管理系统
  2. 在左侧导航栏,选择策略防护 > 策略设置
  3. 单击“基本配置”页签。在当前已选择资产中,选择目标资产并勾选“SQL策略”
  4. 单击编辑图标,勾选客户端语句过滤白名单。
  5. 单击“确定”,单击右上角“策略应用”,使配置生效。

验证配置效果

  1. 在DBeaver工具上重新连接数据资产。
  2. 在日志检索页面查看审计日志,如所示,登录审计信息为11条,有一条SET操作已经被过滤。

    图7 查看过滤效果

相关文档