數(shù)據(jù)庫(kù)安全防護(hù)手段縱論之?dāng)?shù)據(jù)庫(kù)防火墻的優(yōu)勢(shì)(1)
作者:安華金和
發(fā)布時(shí)間:2017-02-06
在傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)手段中�����,網(wǎng)絡(luò)防火墻的使用最為廣泛����,在數(shù)據(jù)庫(kù)安全領(lǐng)域,防火墻的技術(shù)同樣重要�。但由于技術(shù)難度及對(duì)業(yè)務(wù)系統(tǒng)的速度影響,市場(chǎng)上成熟的數(shù)據(jù)庫(kù)防火墻產(chǎn)品并不多�����,很多用戶(hù)依然在使用IP/IDS等傳統(tǒng)手段對(duì)數(shù)據(jù)庫(kù)進(jìn)行安全防護(hù)�����。
相對(duì)傳統(tǒng)IPS/IDS的優(yōu)勢(shì)
主流IDS/IPS產(chǎn)品識(shí)別的依據(jù)通常是特征庫(kù)�����。一些IDS/IPS廠商試圖在其產(chǎn)品中增加數(shù)據(jù)庫(kù)攻擊特征指紋�,并聲稱(chēng)能保護(hù)數(shù)據(jù)庫(kù)。但由于數(shù)據(jù)庫(kù)服務(wù)器與其他類(lèi)型服務(wù)器不同����,是高度復(fù)雜的服務(wù)器,采用豐富的交互式語(yǔ)言和復(fù)雜協(xié)議����。IDS/IPS如果試圖采用同樣機(jī)制將傳統(tǒng)的處理方法照搬到數(shù)據(jù)庫(kù),顯然是行不通的�。
數(shù)據(jù)庫(kù)防火墻的優(yōu)勢(shì)
比如SQL攻擊���,一般的文檔會(huì)舉例 OR’1’=’1’,一些聲稱(chēng)擁有數(shù)據(jù)庫(kù)攻擊檢測(cè)能力的IDS/IPS其實(shí)就是在Payload中尋找’1’=’1’的字符串,但是’2’=’2’呢��?……這個(gè)列表可以說(shuō)是無(wú)止盡的����,也就是說(shuō)IDS/IPS無(wú)法構(gòu)建真正的能夠涵蓋數(shù)據(jù)庫(kù)攻擊的特征庫(kù)。
對(duì)于數(shù)據(jù)庫(kù)攻擊來(lái)說(shuō)��,攻擊特征是非常復(fù)雜和千變?nèi)f化的��,數(shù)據(jù)庫(kù)防護(hù)墻是真正實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)語(yǔ)言——SQL語(yǔ)句的精確解析�,只有實(shí)現(xiàn)了細(xì)粒度的語(yǔ)句解析才能準(zhǔn)確識(shí)別訪問(wèn)是否存在安全威脅���。
SQL語(yǔ)法的精確解析是數(shù)據(jù)庫(kù)安全防護(hù)手段與傳統(tǒng)手段的根本差異���,這一點(diǎn)在數(shù)據(jù)庫(kù)防火墻中尤為重要。由于普遍的串聯(lián)工作方式��,解析結(jié)果的準(zhǔn)確度及速度非常重要�,這將直接影響一個(gè)一個(gè)業(yè)務(wù)系統(tǒng)的響應(yīng)速度以及是否能夠運(yùn)作,不會(huì)被阻斷安全的正常訪問(wèn)���。目前安華金和的數(shù)據(jù)庫(kù)防火墻已經(jīng)在國(guó)家人口庫(kù)����、國(guó)家人社部、大型物流企業(yè)等關(guān)鍵系統(tǒng)中部署和正常運(yùn)行����,能夠滿(mǎn)足高數(shù)據(jù)量、高并發(fā)量下的業(yè)務(wù)系統(tǒng)訪問(wèn)的安全過(guò)濾�����。
在下文中我們將持續(xù)對(duì)專(zhuān)業(yè)數(shù)據(jù)庫(kù)防火墻產(chǎn)品與其他防護(hù)手段進(jìn)行對(duì)比����,說(shuō)明其在數(shù)據(jù)庫(kù)安全領(lǐng)域的核心作用。
產(chǎn)品咨詢(xún):4000 258 365 
