自定义策略包括SQL策略、包过滤策略、客户端语句过滤白名单。

添加SQL策略

系统已经内置策略组和策略，您可以根据需求添加自定义的SQL策略。

自定义策略包含功能如下：

•支持对缺省数据库策略组进行编辑和删除操作。

•支持对自定义策略组进行添加、编辑和删除操作。

•支持对策略组的规则进行添加、删除、编辑、上移、下移操作。

•可根据自身业务场景对资产信息、目标信息、访问信息进行策略配置。

• 操作步骤

1.  在左侧导航栏，选择策略防护 > 策略定义。
2. 单击SQL策略页签。
3. 如需新增策略组，请进行如下操作：
   1. 在策略组列表区域，单击添加策略组。
   2. 设置策略组基本信息，并点击确定。

 

参数	说明
名称	自定义策略组名称。
基于	可选新建或基于： •新建：创建一个空白策略组。 •基于：选择其他策略组（例如缺省MySQL策略）做为模板，在其基础上进行编辑。

3.  创建完成后，单击策略组名称，修改策略信息，单击右上角的保存。

 

4. 在策略组中添加新策略。
   1. 鼠标移动到目标策略组，单击添加图标。

 

2. 设置策略名称和类型，单击确定。

 

参数	说明
名称	自定义策略名称。
类型	可选择默认、优先级、白名单和黑名单四种类型： •黑名单：访问阻断。 •白名单：访问通过。 •优先级：策略匹配先于默认类型，默认访问通过，可自行修改。 •默认：默认访问通过，可自行修改。 策略类型的优先级顺序为黑名单 > 白名单 > 优先级 > 默认。同一个类型则按顺序执行，有阻断则阻断。

3.  单击策略组前面的展开图标，查看策略。

 

4. 单击策略名称，在策略详情页面修改策略信息。若设置策略详情时要使用集合组，请先进行集合配置，详情参见管理集合配置。

 

参数	说明
命中策略后记录结果集	开启后命中策略就会记录结果集。
基本信息
风险等级	命中策略告警的级别。
响应动作	命中策略动作设置阻断或通过。
记录日志	命中策略是否记录日志。
敏感数据访问不脱敏	命中策略是否访问敏感数据时不脱敏。
锁定访问	响应动作为阻断时，可选择是否根据IP或用户锁定访问。
资产信息（源）
资产客户端IP	数据库客户端的IP。
主机名	数据库客户端的主机名。
操作系统用户	数据库客户端的操作系统用户名。
数据库用户	数据库客户端的访问数据库资产使用的用户名。
数据库用户组	数据库客户端的访问数据库资产使用的用户组。
资产客户端	数据库客户端工具。
资产客户端MAC	数据库客户端工具所在PC的MAC。
应用客户端IP	三层防护，应用端的IP。
应用用户组	三层防护，应用端的用户组。
时间组	时间段组 。
应用用户	三层防护，应用用户。
目标信息
目标表	访问资产的表。
数据库	数据库。 例如MySQL数据库中的test模式，可以表示为mySQL.test。
影响行数	访问资产影响行数。
关联表个数	查询表个数。
字段	查询资产表的字段。
表组	查询的表组。
访问信息
访问次数	数据库客户端访问资产的次数。
执行时长	执行语句的时长。
请求状态	客户端请求的状态。
存储过程	访问的存储过程。
操作命令	客户端执行的命令类型。
特权操作	客户端特权操作。
查询组	查询语句组。
SQL字符串	客户端执行的SQL字符串。
操作语句	客户端执行的操作语句。
SQL十六进制序列	客户端执行的SQL十六进制序列。
执行结果关键字	结果集关键字。
时间选择	策略执行的时间控制。

 在策略详情中可以从多个维度设置策略信息，包括策略基本信息、资产信息、目标信息、访问信息和时间等。

例如，您可以如上图设置，表示禁止root用户访问数据资产。

5. 单击右上角的保存，保存策略信息。

5. 可选： 如果需要调整策略的优先级，将鼠标放到策略上，单击或者进行上移或者下移。

 

说明： 策略优先级顺序为黑名单 > 白名单 > 优先级 > 默认，同一类型的越上面，优先级越高。仅支持同一种类型之间进行上、下移动。

6. 使配置生效。
   1. 在左侧导航栏，选择策略防护 > 策略设置。
   2. 勾选启用策略定义。
   3. 单击编辑图标，勾选目标策略组，单击确定。
   4. 单击策略应用。

更多信息，请参见管理基本配置。

除了新增操作外，系统还支持对策略组和策略进行以下管理操作：

•策略组：

–编辑策略组：鼠标移动到策略组，单击，修改策略组名称。

–删除策略组：鼠标移动到策略组，单击，删除策略组。

–复制策略组：鼠标移动到策略组，单击，复制整个策略组。

–导出策略组：在策略组列表，单击导出，设置文件名称并勾选需要导出的策略组名称，将策略组保存到本地。

–导入策略组：在策略组列表，单击导入，在本地选择已导出的策略组文件。

•策略：

–编辑策略信息：单击策略名称，修改策略信息。

–编辑策略：鼠标移动到策略，单击，修改策略名称。

–复制策略：鼠标移动到策略，单击，复制整个策略。

–删除策略：鼠标移动到策略，单击，删除策略。

 添加包过滤策略

根据网络数据包的五元组（源IP、源端口、目的IP、目的端口、协议）与配置规则进行匹配，根据匹配规则的操作，进行数据包的放行或阻断。

• 操作步骤

1.  在左侧导航栏，选择策略防护 > 策略定义。
2. 单击包过滤策略页签。
3. 策略列表区域，单击添加策略，配置策略名称并单击确定。

4. 单击策略名称，在策略汇总区域，配置五元组信息和匹配规则操作，单击右上角的保存。

参数	说明
协议	可选择TCP、UDP、ICMP协议。
响应动作	包括放行和阻断。
源IP	数据包发送端IP。
源端口	数据包发送端端口（ICMP协议下，此端口可不填）。
目的IP	数据包接收端IP。
目的端口	数据包接收端端口（ICMP协议下，此端口不填）。

 注意： 如果选择TCP协议，则源IP、源端口、目的IP和目的端口必填一项，再单击保存。如果不填写直接保存的话，会造成无法访问Web页面、无法连接SSH等问题。

5.  在策略列表框上设置未命中策略时默认动作为放行或阻断。

–放行：如果访问命中开启的策略，默认通过；若策略定义里的响应动作为阻断，则阻断。

–阻断：如果访问命中开启的策略，则直接阻断。

除了新增操作外，系统还支持对策略进行以下管理操作：

•编辑策略：鼠标移动到策略，单击，修改策略名称。

•删除策略：鼠标移动到策略，单击，删除策略。

启用或禁用策略

策略在创建时默认为启用状态，您可以根据实际情况启用或者禁用。

• 操作步骤

1.  在左侧导航栏，选择策略防护 > 策略定义。
2. 切换到目标策略，例如单击SQL策略页签。
3. 如果需要切换单个策略，请参考此步骤。

1. 单击目标策略组前面的图标，展开策略。
2. 找到目标策略，单击策略前面的状态图标，启用或禁用策略。

•上图中，①部分策略为禁用状态，单击后可以启用策略。

•上图中，②部分策略为启用状态，单击后可以禁用策略。

4. 如果需要批量切换同策略组的多个策略，请参考此步骤。
   1. 鼠标移动到目标策略组，单击图标。
   2. 在编辑策略组对话框中，勾选需要启用的策略，未勾选的表示需要禁用的策略。

3. 单击确定。
   4.  添加客户端语句过滤白名单

在客户端操作SQL语句时，会固定产生一些不需要记录的语句。这些语句可能会干扰您识别正常的SQL操作语句。通过添加客户端语句过滤白名单，审计日志将不记录这些客户端语句，避免因匹配到特定策略后产生误报。

• 操作步骤

1.  在左侧导航栏，选择策略防护 > 策略定义。
2. 单击客户端语句过滤白名单页签。
3. 单击添加。
4. 在添加客户端语句过滤白名单对话框中，添加正确的数据。

 

参数	说明
SQL	需要添加白名单的SQL语句。
工具	数据库客户端。
数据库	数据库类型。
状态	在下拉栏中选择启用或禁用，默认启用。

5.  单击确定。
6. 使配置生效，您需要进行以下步骤：
   1. 在左侧导航栏，选择策略防护 > 策略设置。
   2. 在基本配置页的应用的策略栏勾选启用策略定义。
   3. 单击启用策略定义旁的。
   4. 在策略列表页面勾选客户端语句过滤白名单，点击确定。
   5. 在基本配置页点击策略应用，配置生效。

更多信息，请参见管理基本配置。

数据库客户端访问资产时，如果规则命中SQL语句，那么在审计日志 > SQL日志页面的审计日志列表里不记录此日志。