检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
设置您的子网掩码。根据您的网络规划决定。 网关地址 您的网关地址。 单击“确定”,完成配置。 配置DNS服务。 如果需要用到域名解析服务,例如数据库地址使用了域名,需要配置DNS服务。 在右上角,单击设置DNS。 在设置DNS对话框中,配置主DNS和备DNS信息。 单击“确定”。 父主题:
网卡信息:包括网络IP地址、网关地址等信息,一般在初次安装部署或者网络环境变更时,需要配置。 DNS服务器:设置DNS服务器地址,如果资产为域名时,必须要配置DNS服务器。 路由策略信息:如果设备存在多网卡,需要根据网络规划方案配置路由策略信息。 请根据网络环境规划配置设备的网络信
编辑策略组:鼠标移动到策略组,单击,修改策略组名称。 删除策略组:鼠标移动到策略组,单击,删除策略组。 复制策略组:鼠标移动到策略组,单击,复制整个策略组。 策略: 编辑策略信息:单击策略名称,修改策略信息。 编辑策略:鼠标移动到策略,单击,修改策略名称。 复制策略:鼠标移动到策略,单击,复制整个策略。
阻断:如果访问命中开启的策略,则直接阻断。 相关操作 除了新增操作外,系统还支持对策略进行以下管理操作: 编辑策略:鼠标移动到策略,单击,修改策略名称。 删除策略:鼠标移动到策略,单击,删除策略。 父主题: 自定义策略
在左侧的可选择的模式选中目标模式,单击>按钮,移动到已选中的模式。 选择表 选择模式后,自动选择该模式下所有表。如果只选择单个模式,您可以根据需要调整该模式下的表数量。 如果部分表格不需要扫描,在右侧的已选中的表选中目标对象,单击<按钮,移动到可选择的表。 敏感数据选择 在下拉栏中选
上图中,①部分策略为禁用状态,单击后可以启用策略。 上图中,②部分策略为启用状态,单击后可以禁用策略。 如果需要批量切换同策略组的多个策略,请参考此步骤。 鼠标移动到目标策略组,单击图标。 在编辑策略组对话框中,勾选需要启用的策略,未勾选的表示需要禁用的策略。 图2 批量启用或禁用策略 单击“确定”。
使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“策略防护 > 策略设置”,并在策略设置页面,单击“集合配置”页签。 将鼠标移动到资产客户端IP集,单击右侧显示的。 设置开始IP和结束IP,单击“确定”。 图2 添加资产客户端IP集 配置完成后,您可以在配置策略时选择对应的集合。例如,在“策略防护
使用安全管理员datadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“运维管理 > 安全客户端”。 单击Web安全客户端右侧的“查看”。 将光标移动到资产名上并单击。 单击“Edit Connection”。 单击“OPTIONS”页签,进行连接设置。如果为数据库操作员开启了密码代填,则可跳过此步骤。
成系统时间修改。 如果需要通过网络获取系统时间,请参考此步骤: 图2 通过网络获取系统时间 在NTP服务器地址输入框填入时间服务器的IP或域名。 单击“保存”,弹出“修改系统时间后请重启服务,否则部分功能将无法生效。”,单击“确定”完成系统时间修改。 父主题: 系统设置
启用禁止SSH登录:禁止SSH访问系统。 说明: 禁止SSH登录后,运维人员将不能通过SSH访问服务器后台。 HOST代理白名单 填写HOST代理白名单,支持IP地址或域名。 单击“确定”生效。 父主题: 启用安全配置
数据库MAC地址 执行SQL语句所在数据库MAC地址。 客户端IP 执行SQL语句所在客户端的IP地址。 数据库IP/域名 执行SQL语句所在的数据库的IP地址/域名。 客户端端口 执行SQL语句所在的客户端的端口。 数据库端口 执行SQL语句所在的数据库的端口。 客户端名称 执行SQL语句所在客户端名称。
设置是否支持多端登录功能。 是:同账号支持在多个地方同时登录。 否:一个账号登录后,不能在其他地方登录。 登录安全策略 选择是否启用登录安全策略,防止账号被暴力破解。 例如,用户账号如果在3分钟内,登录信息连续输入错误3次,则此账号在5分钟内将被锁定,无法登录到系统。 双因子安全认证 设置登录认证方式。
首次登录后,需要修改默认密码,详细操作请参见修改登录密码。 在后续使用过程中,建议您定期修改密码,确保登录安全。 修改登录密码 在Web控制台,鼠标移动到右上角的用户名。 图3 修改密码 在下拉框中,单击“修改密码”。 在修改密码对话框中,输入原始密码和新密码,单击“确定”,新密码规则如表2所示。
操作详情请参见通过代理连接数据库。 图9 客户端访问结果 使用本机上的DBeaver通过代理服务器访问数据资产中test表,如果审批被驳回或同意后被撤销,此时会被阻断。 操作详情请参见通过代理连接数据库。 图10 客户端访问结果 父主题: 步骤三:系统功能配置及使用场景举例
URI-scheme: 表示用于传输请求的协议,当前所有API均采用HTTPS协议。 Endpoint: 指定承载REST服务端点的服务器域名或IP,不同服务不同区域的Endpoint不同,您可以从地区和终端节点获取。 例如IAM服务在“华北-北京四”区域的Endpoint为“iam
Bad Request 服务器未能处理请求。 401 Unauthorized 被请求的页面需要用户名和密码。 403 Forbidden 对被请求页面的访问被禁止。 404 Not Found 服务器无法找到被请求的页面。 405 Method Not Allowed 请求中指定的方法不被允许。
数据库安全审计默认提供一条“全审计规则”的审计范围,可以对连接数据库安全审计实例的所有数据库进行审计。开启数据库安全审计后,您可以在数据库安全审计界面查看被添加的数据库的审计结果。 须知: 您可以根据业务需求设置数据库审计规则。有关配置审计规则的详细操作,请参见配置审计规则。 父主题: 开通并使用数据库安全审计(免安装Agent)
数据库安全审计默认提供一条“全审计规则”的审计范围,可以对成功连接数据库安全审计实例的所有数据库进行安全审计。开启数据库安全审计后,您可以查看被添加的数据库的审计结果。详细操作,请参见查看审计结果。 开启审计 请参见步骤三安装Agent。 请参见步骤四添加安全组规则。 登录管理控制台。
署在不同的服务节点上,有不同IP地址,如图1所示。 图1 服务器部署拓扑图 绿色箭头为正常访问路径,如果订单管理服务或商品搜索服务两个节点被攻陷,攻击者会从这两个节点去访问数据库的用户信息表,意图窃取用户信息,就属于数据库的异常访问。 在DBSS中可通过如下规则设置来检测数据库异常访问情况:
手动续费 包年/包月数据库安全服务从购买到被自动删除之前,您可以随时在DBSS控制台为数据库安全服务续费,以延长数据库安全服务的使用时间。 在云服务控制台续费 登录管理控制台。 单击左侧导航栏的图标,选择“安全与合规 > 数据库安全服务 DBSS”。 在左侧导航栏选择“实例列表”,进入“实例列表”页面。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
