Oracle AuditVault and Database Firewall的安装稍微有些麻烦,并且对于安装环境的硬件配置要求较高。由于分为Audit Vault Server和Database Firewall,所以其安装部署至少需要2台独立的主机。以下我们就以最简单的inline模式为例,来搭建Oracle Audit Vault and Database Firewall针对于ZLHIS应用的实验环境。
在安装之前请按前文所述下载好完整的安装介质。需要注意:最新版本的OracleAudit Vault and Database Firewall目前仅能安装在OracleEnterprise Linux5.8 x86_64及以上的版本之上。
由于防火墙工作原理的特殊性要求安装防火墙的主机至少需要配备2张网卡,如果需要防火墙工作在DPE模式下则至少需要3张网卡。同时要求安装Audit Vault Server和Database Firewall的主机至少需要2GB的内存和125GB的硬盘空间。
最后,在正式安装之前请确认用于安装的这两台主机都只是用于AuditVault and Database Firewall,并且已经将其中重要数据备份。因为在安装时会重新生成内核镜像并对硬盘自动重新分区格式化。
确认安装介质的一定要下载完整,以下的3个镜像文件缺一不可:
Oracle AVDF安装介质
先安装Audit Vault Server。将镜像文件刻录好的Audit Vault Server安装光盘放入光驱,启动计算机开始安装,自动加载安装信息后会提示需要插入Oracle Enterpries Linux系统光盘。此时退出Audit VaultServer安装盘,插入OEL(Oracle Enterpries Linux)安装盘后选择OK。
Oracle AVDF安装截图(一)
识别插入的OEL光盘,并验证安装所需要的包的依赖关系后,开始自动安装。该安装过程其实是先安装了OEL操作系统(但系统内核镜像文件是根据Audit VaultServer要求重新生成的),然后再OEL系统上安装AuditVault Server。
Oracle AVDF安装截图(二)
操作系统安装结束后会提示插入Audit VaultServer的安装光盘,其后的安装步骤才是真正安装Audit Vault Server了。同样,更换光盘后选择OK,系统将自动运行安装并应用配置脚本。
Oracle AVDF安装截图(三)
安装并应用默认配置脚本(根据机器配置情况,此过程花费时间相对较长)。
Oracle AVDF安装截图(四)
安装并应用默认脚本后会提示设置一个”安装密码”,这个密码短语在以后通过控制台关机等情况下需要使用它(设置后需要记住,安装密码会要求重复输入两次,如果密码设置太过简单系统会提示是否确认设置该密码)。
Oracle AVDF安装截图(五)
最后系统会自动识别到当前主机上所配备的所有网络,并要求选择其中一张网卡作为管理接口。选择作为管理接口的网卡后会显示该网卡相关的信息,并要求设置管理接口IP地址等。
Oracle AVDF安装截图(六)
设置管理接口IP地址。
Oracle AVDF安装截图(七)
管理接口IP地址设置好之后,选择最后一项重起完成安装(重起的过程也会稍微有点长,因为重起时会为Audit Vault Server安装并配置以后存储资料的Oracle数据库)。
成功重起后控制台界面如下图示。在此界面可以实现更改IP地址、设置操作系统用户密码(root、support两用户)、更改安装时设置的密码以及关机等操作。这些功能在Audit Vault Server提供的Web控制台中都可以完成。到此,Audit VaultServer的安装全部完成,后续的所有操作都将在Web控制台中来完成了。
Oracle AVDF安装截图(八)
Audit VaultServer安装完成后,就可以安装Database Firewall(这两者的安装顺序不用严格区分先后)。Database Firewall的安装步骤与Audit Vault Server完全一样,其中也会有两次提示更换安装光盘、设置安装密码和管理接口IP地址等。
l 初始配置
在正式部署使用之前还需要先完成一些初始的设置,这些设置包括操作系统的用户密码(root和support用户的)、登录Audit Vault Server和Database Firewall的管理员和审计者的密码、当前所在时区、时间、所使用的键盘类型以及将Database Firewall注册到Audit Vault Server等设置。
注意,由于Web访问采用了HTTPS协议,所以在首次使用Web控制台登录Audit Vault Server或Database Firewall时会提示安装安全证书。并且在首次登录时会要求输入安装时设置的密码短语,密码短语验证通过后会自动转到设置Audit Vault Server、Database Firewall的管理员和审计者以及操作系统用户的密码的页面。
Oracle AVDF配置截图(一)
初始用户名、密码设置,用户名密码设置完成后就可以刚才设置的用户名和密码进行登录并作其它设置了(主要需要完成当前时区、时间和键盘类型的设置,其设置都较了简单这里不再赘述)。
Oracle AVDF配置截图(二)
用户名、密码及日期时间这些基本要素设置好以后,现就可以以管理员身份登录AuditVault Server和Database Firewall然后将Database Firewall注册到Audit Vault Server中去。因为Database Firewall本身不论是命令行还是Web控制台都没有提供对自身完整的配置和管理功能,其绝大部分的管理和配置都需要借助于Audit Vault Server来完成。并且对于企业级的有批量部署的需求来讲,通过AuditVault Server集中进行管理配置将更加方便。
登录Audit Vault Server控制台后,在“设置”标签下选择“证书”菜单,然后将右侧服务器证书框中的内容全部复制到Database Firewall中。因为Audit Vault Server以后将承担管理和配置Database Firewall的任务,所以其向Database Firewall提供证书的目的在于向Database Firewall中标识自己的合法身份。
Oracle AVDF配置截图(三)
复制Audit Vault Server中的证书后,在Database Firewall控制台的“System”标签下选择“Audit Vault服务器”。然后将所复制的证书内容粘贴到证书栏中去,在Audit Vault服务器IP地址栏内填写好Audit Vault Server主机的IP地址,并保存设置。
Oracle AVDF配置截图(四)
完成在Database Firewall中标识Audit Vault Server主机的身份后,返回Audit VaultServer控制台。选择“防火墙”标签下的“防火墙”菜单,在注册防火墙表单中填写防火墙名称(防火墙名称自行定义)和所在主机的IP地址,并确认注册。
Oracle AVDF配置截图(五)
由于此前已在Database Firewall中标识了Audit Vault Server主机的身份,所以确认注册后Audit VaultServer就会连接并接手对Database Firewall的管理。此时在Audit Vault Server中就可以对Database Firewall主机进行重起、关机、删除注册等操作。注意,如果只部署了一台Database Firewall并且Audit Vault Server已正常连接可管理的情况下状态会显示为“Primary”,如果Database Firewall所在主机关机或其它不可连接情况状态会为“offline”。通过点击注册时设置的防火墙名称可以查看此时防火墙状态的详细信息。
Oracle AVDF配置截图(六)
l 部署配置
初始的配置完成后,以后基本上所有的工作都只需要登录AuditVault Server就可以完成。接下来就实验将Oracle Audit Vault andDatabase部署到生产环境中去,查看其对于安全目标的保护。这里的安全目标是一个正在使用的ZLHIS数据库。注意因为Audit Vault Agent是java语言编写的代理插件,要求安全目标主机需要用安装有JDK1.5及以上版本。
登录Audit Vault Server的Web控制台选择“主机”标签下面的“代理”菜单,点击右侧的“下载代理”按钮下载AuditVault Agent代理插件。
Oracle AVDF配置截图(七)
在安全目标主机上部署并激活Audit Vault Agent代理插件。设置好JAVA_HOME后在安全目标主机上执行“java -jar agent.jar -d安装目标目录名”进行部署(该命令执行完成会将jar包部署到安装目标目录中去)。然后在安全目标主机上切换目录到安装目标目录下,执行“./bin/agentctlactivate”激活代理插件。
插件激活后以管理员身份登录Audit Vault Server,选择“主机”标签下的“主机”菜单,点击右侧的“注册”按钮将安全目标主机注册到AuditVault Server(主机名栏由自行定义,主机IP为安全目标主机IP地址),保存设置。
Oracle AVDF配置截图(八)
接下来激活上面注册的主机(此操作主要是生成一个代理激活密钥)。在“主机”菜单下选择刚才注册的主机,点击右侧激活按钮。成功激活后会在“代理激活密钥”栏生成一个密钥,然后使用生成的激活密钥来启动安全目标主机的代理插件。在安全目标主机上切换目录到安装目标目录下,执行“./bin/agentctl start –k key(代理激活密钥,即下图中的GE4D-ZCQF-U2TB-QKO7-TBC1)”起动代理插件。Audit Vault Agent代理插件启动后“代理状态”栏会变成“Running”状态,否则表示目标主机代理未启动成功。
Oracle AVDF配置截图(九)
安全目标主机注册完成后就需要对该主机上需要受保护的数据库目标进行注册。AuditVault Server,“受保护目标”标签下的“目标”菜单点击注册,填写受保护目标的注册信息,并保存。注意,受保护目录位置的格式与受保护目标类型相关,示例图片中都是以Oracle数据库为例。如果是其它操作系统或数据库填写格式请参考官方手册。
Oracle AVDF配置截图(十)
受保护目录注册完成后就可以为受保护的目录配置“审计线索”和“强制点”(即前文中提到的审计数据源和执行点。审计线索是告诉代理插件将哪里审计数据发送回Audit Vault Server服务器,强制点则是确定防火墙工作于何种模式下、使用的是哪一个防火墙。)
同上,Audit Vault Server,“受保护目标”标签下的“审计线索”菜单点击添加,填写审计线索信息。审计线索信息简单些可以作如下理解,即从哪台主机的哪一个受保护目标下的哪个位置获取审计数据。详细定义请参见官方手册,涉及审计线索类型较多此处不再赘述。
Oracle AVDF配置截图(十一)
审计线索菜单下默认显示已添加的审计线索及其收集状态。可以通过右侧的启动或停止按钮改变收集状态。收集状态栏显示绿色向上的箭头表示为启动状态,红色的向下箭头则表示停止状态。
Oracle AVDF配置截图(十二)
审计线索添加完成接着选择“强制点”菜单,创建强制点。强制点信息内主要是确定防火墙针对哪一个受保护的目标,采取什么样的监视模式。除强制点名称外,其余内容都是之前配置好的对你选择使用即可。
Oracle AVDF配置截图(十三)
那么至此,对于Oracle Audit Vault andDatabase Firewall在生产环境中的部署就已全部完成。接下来就可以以审计者的身份登录AuditVault Server来指定需要执行一些什么样的审计操作和防火墙遵循什么样的规则来监视SQL流量,以及查看已设置策略的工作情况、生成的审计报告和防火墙拦截报告等工作。