【产品技术】创建数据库防攻击策略
基于数据库实际风险,用户可以选择应用入侵防御系统(IPS)或入侵检测系统(IDS),并配置对应策略规则,阻止/监控SQL注入攻击,确保用户数据库安全。同时,HexaTier提供自学习模式,一旦定义的学习时间结束后,系统会自动生成安全策略规则。
配置基于风险的IPS/IDS策略
步骤1:进入“创建数据库安全规则”页面,如下图所示。
步骤2:在“规则类型”下拉列表框中,选择“基于风险的IPS/IDS”。
步骤3:在“数据库”下拉列表框中,选择应用该防火墙规则的数据库。
步骤4:在“创建数据库安全规则”页面,配置基于风险的IDS规则,如下图所示,相关参数说明如下表所示。
参数名称 |
说明 |
| 源IP地址 | 通过设置该参数,用户可以将规则应用于来自任何IP的查询,或仅应用于来自特定IP地址、IP范围或IP地址组的查询。用户可以单击“新建”来创建新的源IP地址或IP范围。 |
| 数据库用户名 | 通过设置该参数,用户可以将规则应用于来自任何数据库用户的查询,或仅应用于特定用户或用户组的查询。 |
| 活动目录用户 | 通过设置该参数,用户可以将规则应用于来自任何活动目录用户的查询,或仅用于特定活动目录用户或用户组的查询。 只有配置了活动目录之后,该参数才会显示。 |
应用名称 |
应用该规则的应用名称。 |
计划 |
应用该规则的时间计划,用户可以单击“新建”来创建新的计划。 |
模式 |
选择“监控-IDS”,与SQL注入检测同时执行“监控-IDS”,应用入侵检测系统和已配置的风险概况、风险引擎,并监控查询。 |
风险概况 |
用户可以选择配置了监控动作的风险概况。 |
SQL Injection Detection |
勾选该选项,监控SQL注入。 SQL注入检测以HexaTier内置检测系统(风险引擎)为基础。 |
日志记录 |
选择是否把阻止的查询写到入侵事件日志。 |
| 同时生成(SMTP)告警 | 当该规则定义的事件发生时,通过电子邮件发送告警。要使用该选项,请确保告警已正确配置,且已启用。 |
Syslog |
如果在日志记录中选择了“入侵事件”,用户可以勾选“Syslog”来启用Syslog。 每次激活规则时,会向Syslog服务器发送一条消息。 |
规则优先级 |
本功能用于设置新增策略的优先级。 |
| 禁用规则 | 勾选复选框可以禁用该规则。 |
高:优先应用该新增规则。
低:最后应用该新增规则。
步骤5:单击“创建”。
步骤6:等一段时间后,查看入侵日志信息。
在HexaTier主菜单上,选择“防火墙”。
在左侧导航树中,选择“入侵日志”。
在工作区中查看事件日志的基本信息。
步骤7:配置SQL注入风险引擎。
进入“SQL注入风险引擎配置”页面
在“SQL注入风险引擎配置”页面,设置风险因素的权重评分
在“禁用存储过程和函数的风险评估”中,选择是否禁用该项。
单击“保存”。
步骤8:等一段时间后,重新查看入侵日志信息。
步骤2:配置学习模式库
参数名称 |
说明 |
代理 |
如果用户在“数据库”中选择了“所有数据库”,则可以具体选择应用该规则的代理。 |
| 源IP地址 | 通过设置该参数,用户可以将规则应用于来自任何IP的查询,或仅应用于来自特定IP地址、IP范围或IP地址组的查询。用户可以单击“新建”来创建新的源IP地址或IP范围。 |
| 数据库用户名 | 通过设置该参数,用户可以将规则应用于来自任何数据库用户的查询,或仅应用于特定用户或用户组的查询。 |
| 活动目录用户 | 通过设置该参数,用户可以将规则应用于来自任何活动目录用户的查询,或仅用于特定活动目录用户或用户组的查询。 只有配置了活动目录之后,该参数才会显示。 |
应用名称 |
应用该规则的应用名称。 |
计划 |
应用该规则的计划,用户可以单击“新建”来创建新的计划。 |
查询模式组 |
该学习模式结果要附加到的查询模式组,用户也可以通过单击“新建”创建空查询模式组来附加该学习模式结果。 |
学习时长 |
学习数据库访问行为的持续时间。 |
规则优先级 |
本功能用于设置新增策略的优先级: |
禁用规则 |
勾选复选框可以禁用该规则。 |
高:优先应用该新增规则。
低:最后应用该新增规则。
单击“创建”。
配置学习模式库。
进入“新建查询模式”页面,操作步骤如下图所示。
在“新建查询模式”页面的文本框中输入需要应用的SQL语句
select * from billing where m_id=?
在“数据库类型”下拉列表框中,选择应用查询模式的数据库类型。
单击“创建”。
SQL语句格式中,数据参数应以问号显示。例如:
- 点赞
- 收藏
- 关注作者
评论(0)