华三堡垒机硬件型号产品有_sql

随机附件说明书，保修手册，装箱清单

保修政策原厂硬件保修期为1年。

生产厂家新华三技术有限公司

产地杭州

产品类型堡垒机

设备型号 A2020

产品尺寸 1U

设备接口支持4个千兆以太网电口作为业务接口， 2个以太网电口作为管理接口（1个管理接口、1个HA接口），2个USB接口

百兆电口无

千兆电口 6个

千兆光口无

万兆光口无

扩展插槽无

可扩展网口模块无

USB接口 2个

冗余电源不支持

并发会话数最大字符并发连接数300，最大图形并发连接数50

可管理设备数 300个

硬盘容量 1T

数据采集通过运维审计系统web界面调用PUTTY、远程桌面、FTP传输软件等进行运维, 通过PUTTY/SecureCRT/XSHELL等工具直接登陆资产进行运维；

支持运维协议审计字符型协议：SSH、TELNET，图形协议：RDP、VNC，文件协议：FTP、SFTP，应用中心：oracle/DB2/Sqlserver等数据库管理工具、HTTP/HTTPS、PCanywhere、虚拟化管理工具等。

统计分析内置运维报表和系统报表，分别从多种维度进行统计分析，根据运维人员和组生成各种维度的分析报表，维度包含总为运维次数、时长、活动时长、会话起止时间、会话大小

审计结果审计分成图形、字符、应用、文件四种审计类型：1）字符 *** 作审计真实记录用户输入的命令和命令执行后所输出的结果，另外还包含 *** 作人IP地址、账号、MAC地址、协议、端口号、时长、审计日志大小等信息。可在Web界面直接真实回放 *** 作过程，在回放主界面可进行命令的搜索，查看回放的基本属性；2）图形 *** 作审计是以录像方式进行记录，在录像方式记录用户 *** 作过程的同时，还可以文本方式完整记录用户的键盘鼠标敲击，并能对 *** 作界面进行文字模糊识别；3）文件 *** 作审计是指FTP、SFTP/SCP协议的 *** 作行为审计，支持文件的名称、传输速率、传输耗时、 *** 作类型、 *** 作终端信息，同时支持完整的文件备份，上传下载的文件都可通过运维审计系统下载分析。4）文件备份功能可控制文件大小、方向、是否要压缩，并可通过签名技术避免重复保存。支持任意命令、关键字搜索定点回放，支持倍速、进度条拖动等方式回放；

审计报表内置运维报表和系统报表，分别从多种维度进行统计分析，根据运维人员和组生成各种维度的分析报表，维度包含总为运维次数、时长、活动时长、会话起止时间、会话大小；报表的柱状图、曲线图可钻取，方便查看统计详细数据；支持生成日、周、月度报表；支持PDF、doc、html格式导出

用户及组管理功能支持用户添加、删除、激活、锁定；支持TXT、XLS、XLSX、CVS等文件批量导入用户信息；支持从AD、LDAP同步用户；支持用户分组管理

身份认证及访问授权支持丰富的双因子认证方式，包括短信、USBkey、动态令牌等；支持radius、AD、LDAP等认证协议；短信认证支持短信猫、短信网关，且短信网关支持GET、POST、SOAP等方式；支持USBkey、动态令牌的绑定、分发、挂失等管理。支持一对一、一对多、多对多授权，支持快速导入授权关系，自动授权支持关闭与开启，可结合应用中心实现对单个应用软件授权，支持自动学习模式，可自动学习资产、账户密码、用户权限

数据安全管理系统须安装在专用的CF卡中，审计数据存储在磁盘中，防止 *** 作系统故障导致审计数据丢失。审计数据支持通过SFTP/FTP方式自动归档，并在页面中可以查询哪些数据是否归档，可以设置归档成功之后自动删除数据，归档后的数据可以用专用播放器离线查看

访问控制及异常告警系统可对核心设备登录时候的启用双人审核功能（针对不同的访问控制策略分配不同的审核人）。普通用户如想登录该设备，必须经过相关管理人员的授权才行。同时系统也可对一些关键命令启用双人审核功能，那么在核心设备上的敏感指令 *** 作，需要经过第二个人复核后，才能被执行。支持邮件/syslog方式输出告警日志

配置管理支持命令行接口进行配置，支持通过Console口进行本地配置，支持Web方式进行远程配置管理

密码管理支持将目标资产的账号密码交由H3C SecPath运维审计系统进行集中托管，只要管理员在相应运维审计系统的主机账号中将目标设备的账号密码添加上去即可，用户以后访问目标资产时，只需要记住自己的运维审计系统上的账号和密码，即可通过运维审计系统自动登录目标设备。支持灵活配置目标设备密码的修改策略，实现密码的批量定期自动修改，修改后的结果可以以加密邮件方式发送给密码管理员，从而实现密码的集中管理，同时密码管理员也可以随时在运维审计系统的WEB界面打包备份设备的密码到本地，提高改密功能可用性。支持灵活的自动密码生成方式，包括自动生成、上传密码文件、手工指定固定密码等；

部署方式设备采用旁路部署，不得影响业务环境

深度解析具有系统诊断功能，系统诊断功能能系统调试日志、输出综合信息、系统负载、内核信息、内存信息、网卡信息、硬盘各分区信息、硬盘RAID信息、硬盘使用信息以及路由信息。

高可用性支持HA主备模式，管理口和心跳口须支持多链路端口绑定功能，防止单网卡或单线故障；支持多台堡垒机异地互备部署，每台设备都可以配置和运维，配置数据自动同步

实时监控可在web界面监控磁盘状态、RAID状态，并可以在web界面做磁盘监测、磁盘同步、cpu、内存、网络流量；

工单管理运维人员可以向管理员申请需要访问的设备，申请时可以选择：设备IP、设备账户、运维有效期、备注事由等，并且运维工单以邮件方式通知管理员。管理员对运维工单进行审核之后以邮件方式通知给运维人员；如果允许，则运维人员才可访问；否则就无法访问。

*** 作行为记录支持对运维 *** 作会话的在线监控、实时阻断、日志回放、起止时间、来源用户、来源IP、目标设备、协议/应用类型、命令记录、 *** 作内容（如对文件的上传、下载、删除、修改等 *** 作等）的详细行为日志。

会话过程回放可在Web界面直接真实回放 *** 作过程，在回放主界面可进行命令的搜索，查看回放的基本属性

销售许可证 XKC38871

国家信息安全产品认证证书 ISCCC-2015-VP-216

涉密证书无

EAL认证无

IPv6认证无

数据库审计类型 oracle/DB2/Sqlserver等数据库

审计分析新建哪些审计员可以查看哪些主机的会话日志的规则，可以编辑、删除、搜索审计规则

管理控制用户锁定、web登陆限制、密码策略、短信认证设置

用户与鉴别支持用户多角色划分功能，如系统管理员、配置管理员、普通用户、审计管理员、密码管理员等，对各类角色需要进行细粒度的权限管理

数据传输安全计数据支持通过SFTP/FTP方式自动归档，并在页面中可以查询哪些数据是否归档，可以设置归档成功之后自动删除数据，归档后的数据可以用专用播放器离线查看

数据存储安全系统安装在专用的CF卡中，审计数据存储在磁盘中，防止 *** 作系统故障导致审计数据丢失。

审计控制规则可以编辑、删除、搜索审计规则

黑白名单支持通过基于时间、IP/IP段、用户/用户组、设备/设备组、设备账号、命令关键字、命令关键字正则表达式、危险级别、黑白名单等组合访问控制策略，授权用户可访问的目标设备。

部署方式采用旁路部署，不得影响业务环境；

系统联动支持和同品牌数据库审计系统进行联动，将通过SSH/RDP等加密方式 *** 作数据库的行为整合到数据库审计中，实现数据库行为的统一集中查询、展示、审计分析等

目标资源访问方式支持PuTTY（版本大等于0.59）、SecureCRT（版本大等于5.1.3）、Xshell、FileZilla （版本大等于3.1.1）、WinSCP （版本大等于3.5.6）、FlashFXP （版本大等于3.7.2）、CoreFTP（版本大等于1.3 Build1391）、Mstsc（Windows XP/2003/Vista/7/2008系统自带）等运维工具；支持ssh秘钥登陆目标资产；支持putty、secureCRT、Xshell等工具运维通过双击、clone session、duplicate等方式复制会话。

资源节约产品认证类型无

在环保清单第几页第几行及节能证书号无

SQLSERVER2008新增的审核功能

在sqlserver2008新增了审核功能，可以对服务器级别和数据库级别的 *** 作进行审核/审计，事实上，事件通知、更改跟踪、变更数据捕获（CDC）

都不是用来做审计的，只是某些人乱用这些功能，也正因为乱用这些功能导致踩坑

事件通知：性能跟踪

更改跟踪：用Sync Services来构建偶尔连接的系统

变更数据捕获（CDC）：数据仓库的ETL 中的数据抽取（背后使用logreader）

而审核是SQLSERVER专门针对数据库安全的进行的审核，记住，他是专门的！

我们看一下审核的使用方法

审核对象

步骤一：创建审核对象，审核对象是跟保存路径关联的，所以如果你需要把审核 *** 作日志保存到不同的路径就需要创建不同的审核对象

我们把审核 *** 作日志保存在文件系统里，在创建之前我们还要在相关路径先创建好保存的文件夹，我们在D盘先创建sqlaudits文件夹，然后执行下面语句

--创建审核对象之前需要切换到master数据库

USE [master]

CREATE SERVER AUDIT MyFileAudit TO FILE(FILEPATH='D:\sqlaudits') --这里指定文件夹不能指定文件，生成文件都会保存在这个文件夹

实际上，我们在创建审核对象的同时可以指定审核选项，下面是相关脚本

把日志放在磁盘的好处是可以使用新增的TVF:sys.[fn_get_audit_file] 来过滤和排序审核数据，如果把审核数据保存在Windows 事件日志里查询起来非常麻烦

USE [master]

CREATE SERVER AUDIT MyFileAudit TO FILE(

FILEPATH='D:\sqlaudits',

MAXSIZE=4GB,

MAX_ROLLOVER_FILES=6)

WITH (

ON_FAILURE=CONTINUE,

QUEUE_DELAY=1000)

ALTER SERVER AUDIT MyFileAudit WITH(STATE =ON)

MAXSIZE：指明每个审核日志文件的最大大小是4GB

MAX_ROLLOVER_FILES：指明滚动文件数目，类似于SQL ERRORLOG，达到多少个文件之后删除前面的历史文件，这里是6个文件

ON_FAILURE：指明当审核数据发生错误时的 *** 作，这里是继续进行审核，如果指定shutdown，那么将会shutdown整个实例

queue_delay：指明审核数据写入的延迟时间，这里是1秒，最小值也是1秒，如果指定0表示是实时写入，当然性能也有一些影响

STATE：指明启动审核功能，STATE这个选项不能跟其他选项共用，所以只能单独一句

在修改审核选项的时候，需要先禁用审核，再开启审核

ALTER SERVER AUDIT MyFileAudit WITH(STATE =OFF)

ALTER SERVER AUDIT MyFileAudit WITH(QUEUE_DELAY =1000)

ALTER SERVER AUDIT MyFileAudit WITH(STATE =ON)

审核规范

在SQLSERVER审核里面有审核规范的概念，一个审核对象只能绑定一个审核规范，而一个审核规范可以绑定到多个审核对象

我们来看一下脚本

CREATE SERVER AUDIT SPECIFICATION CaptureLoginsToFile

FOR SERVER AUDIT MyFileAudit

ADD (failed_login_group),

ADD (successful_login_group)

WITH (STATE=ON)

CREATE SERVER AUDIT MyAppAudit TO APPLICATION_LOG

ALTER SERVER AUDIT MyAppAudit WITH(STATE =ON)

ALTER SERVER AUDIT SPECIFICATION CaptureLoginsToFile WITH (STATE=OFF)

ALTER SERVER AUDIT SPECIFICATION CaptureLoginsToFile

FOR SERVER AUDIT MyAppAudit

ADD (failed_login_group),

ADD (successful_login_group)

WITH (STATE=ON)

我们创建一个服务器级别的审核规范CaptureLoginsToFile，然后再创建多一个审核对象MyAppAudit ，这个审核对象会把审核日志保存到Windows事件日志的应用程序日志里

我们禁用审核规范CaptureLoginsToFile，修改审核规范CaptureLoginsToFile属于审核对象MyAppAudit ，修改成功

而如果要把多个审核规范绑定到同一个审核对象则会报错

CREATE SERVER AUDIT SPECIFICATION CaptureLoginsToFileA

FOR SERVER AUDIT MyFileAudit

ADD (failed_login_group),

ADD (successful_login_group)

WITH (STATE=ON)

CREATE SERVER AUDIT SPECIFICATION CaptureLoginsToFileB

FOR SERVER AUDIT MyFileAudit

ADD (failed_login_group),

ADD (successful_login_group)

WITH (STATE=ON)

--消息 33230，级别 16，状态 1，第 86 行

--审核 'MyFileAudit' 的审核规范已经存在。

这里要说一下：审核对象和审核规范的修改，无论是审核对象还是审核规范，在修改他们的相关参数之前，他必须要先禁用，后修改，再启用

--禁用审核对象

ALTER SERVER AUDIT MyFileAudit WITH(STATE =OFF)

--禁用服务器级审核规范

ALTER SERVER AUDIT SPECIFICATION CaptureLoginsToFile WITH (STATE=OFF)

--禁用数据库级审核规范

ALTER DATABASE AUDIT SPECIFICATION CaptureDBLoginsToFile WITH (STATE=OFF)

--相关修改选项 *** 作

--启用审核对象

ALTER SERVER AUDIT MyFileAudit WITH(STATE =ON)

--启用服务器级审核规范

ALTER SERVER AUDIT SPECIFICATION CaptureLoginsToFile WITH (STATE=ON)

--启用数据库级审核规范

ALTER DATABASE AUDIT SPECIFICATION CaptureDBLoginsToFile WITH (STATE=ON)

审核服务器级别事件

审核服务级别事件，我们一般用得最多的就是审核登录失败的事件，下面的脚本就是审核登录成功事件和登录失败事件

CREATE SERVER AUDIT SPECIFICATION CaptureLoginsToFile

FOR SERVER AUDIT MyFileAudit

ADD (failed_login_group),

ADD (successful_login_group)

WITH (STATE=ON)

修改审核规范

--跟审核对象一样，更改审核规范时必须将其禁用

ALTER SERVER AUDIT SPECIFICATION CaptureLoginsToFile WITH (STATE =OFF)

ALTER SERVER AUDIT SPECIFICATION CaptureLoginsToFile

ADD (login_change_password_gourp),

DROP (successful_login_group)

ALTER SERVER AUDIT SPECIFICATION CaptureLoginsToFile WITH (STATE =ON)

审核 *** 作组

每个审核 *** 作组对应一种 *** 作，在SQLSERVER2008里一共有35个 *** 作组，包括备份和还原 *** 作，数据库所有权的更改，从服务器和数据库角色中添加或删除登录用户

添加审核 *** 作组的只需在审核规范里使用ADD，下面语句添加了登录用户修改密码 *** 作的 *** 作组

ADD (login_change_password_gourp)

这里说一下服务器审核的内部实际上使用的是SQL2008新增的扩展事件里面的其中一个package：SecAudit package，当然他内部也是使用扩展事件来收集服务器信息

审核数据库级别事件

数据库审核规范存在于他们的数据库中，不能审核tempdb中的数据库 *** 作

CREATE DATABASE AUDIT SPECIFICATION和ALTER DATABASE AUDIT SPECIFICATION

工作方式跟服务器审核规范一样

在SQLSERVER2008里一共有15个数据库级别的 *** 作组

7个数据库级别的审核 *** 作是：select ,insert,update,delete,execute,receive,references

华三堡垒机硬件型号产品有

发表评论

评论列表（0条）