自定义安全规则阻断举例

添加数据源

1. 使用系统管理员sysadmin账号登录数据库安全运维管理系统。
2. 在左侧导航栏，选择“资产管理 > 数据源管理”。
3. 单击页面右上角“添加”，在添加数据源对话框中，设置数据源信息。
   图1 添加数据源
   
   

   代理端口支持自定义或自动分配，自动分配按钮，系统将在1025-65535的端口范围内自动分配未被使用的端口号，需记录该端口号，后续需要通过设备地址+代理端口访问数据资产。

4. 单击“保存”，完成数据源的配置信息，并开启数据源保护开关。

添加自定义安全规则

1. 使用系统管理员sysadmin账号登录数据库运维安全管理系统。
2. 在左侧导航栏，选择“安全策略 > 安全规则”。
3. 单击“添加安全规则”，选择“自定义”。
4. 在添加安全规则页面修改规则信息，如图2所示，表示禁止root用户访问test1表。
   图2 添加安全规则
   
   

   在自定义安全规则中可以从多个维度设置规则信息，包括规则基本信息、匹配信息两大部分，其中规则基本信息可配置风险等级、响应动作、告警审计等内容，并支持为该条规则添加标签；匹配信息则包括访问源、访问目标、访问行为、访问结果、时间范围等。

5. 单击“确定”，完成保存规则信息。

应用安全规则

1. 使用系统管理员sysadmin账号登录数据库运维安全管理系统。

2. 在左侧导航栏，选择“安全策略 > 安全规则”。
3. 选中需要开启的规则，并单击启用按钮。
4. （可选）若在规则配置时未配置需防护的数据库对象，则选择“编辑”在匹配信息-访问目标-数据库对象中进行添加后保存，或批量选中需要开启的规则，单击“规则应用”，选择需要防护的数据库库对象，单击确认保存，再重复3。
   

   若安全规则无应用的数据库对象则无法开启。

通过代理连接数据库

本示例以“DBeaver工具”为例，通过数据库运维安全管理系统代理连接到数据库。

图3 通过代理连接数据库

1. 单击“DBeaver工具”的图标，在选择新连接类型对话框中，选中“MySQL”。
2. 单击“下一步”。
3. 在设置MySQL连接对话框中，设置连接信息，如图3所示。
   • 服务器地址：使用代理服务器IP，即数据库运维安全管理系统的访问IP地址。例如 172.XX.XX.12。
   • 端口：使用代理端口，例如9587。

4. 单击“测试链接”，测试是否能够连接到数据库。
5. 测试通过后，单击“下一步”，按照界面提示完成操作。

验证配置效果

1. 在DBeaver工具上，通过以下命令查询数据库mysql的test1表信息。

   select * from test.`test1`;

2. 如图4所示，查询操作被阻断。
   图4 查询test1表及结果
   

3. 使用系统管理员sysadmin账号登录数据库运维安全管理系统。
4. 在左侧导航栏，选择“审计中心 > 日志检索”。
5. 如图5所示，数据库运维安全管理系统已经可以审计到命中自定义安全规则的行为的日志。
   图5 查看审计日志