數(shù)據(jù)庫(kù)安全防護(hù)手段縱論之?dāng)?shù)據(jù)庫(kù)防火墻的優(yōu)勢(shì)(1)
作者:安華金和
發(fā)布時(shí)間:2017-02-06
在傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)手段中,網(wǎng)絡(luò)防火墻的使用最為廣泛���,在數(shù)據(jù)庫(kù)安全領(lǐng)域���,防火墻的技術(shù)同樣重要���。但由于技術(shù)難度及對(duì)業(yè)務(wù)系統(tǒng)的速度影響,市場(chǎng)上成熟的數(shù)據(jù)庫(kù)防火墻產(chǎn)品并不多����,很多用戶依然在使用IP/IDS等傳統(tǒng)手段對(duì)數(shù)據(jù)庫(kù)進(jìn)行安全防護(hù)。
相對(duì)傳統(tǒng)IPS/IDS的優(yōu)勢(shì)
主流IDS/IPS產(chǎn)品識(shí)別的依據(jù)通常是特征庫(kù)�����。一些IDS/IPS廠商試圖在其產(chǎn)品中增加數(shù)據(jù)庫(kù)攻擊特征指紋�,并聲稱能保護(hù)數(shù)據(jù)庫(kù)。但由于數(shù)據(jù)庫(kù)服務(wù)器與其他類型服務(wù)器不同�����,是高度復(fù)雜的服務(wù)器�,采用豐富的交互式語(yǔ)言和復(fù)雜協(xié)議。IDS/IPS如果試圖采用同樣機(jī)制將傳統(tǒng)的處理方法照搬到數(shù)據(jù)庫(kù)����,顯然是行不通的�����。
數(shù)據(jù)庫(kù)防火墻的優(yōu)勢(shì)
比如SQL攻擊����,一般的文檔會(huì)舉例 OR’1’=’1’,一些聲稱擁有數(shù)據(jù)庫(kù)攻擊檢測(cè)能力的IDS/IPS其實(shí)就是在Payload中尋找’1’=’1’的字符串���,但是’2’=’2’呢?……這個(gè)列表可以說(shuō)是無(wú)止盡的�����,也就是說(shuō)IDS/IPS無(wú)法構(gòu)建真正的能夠涵蓋數(shù)據(jù)庫(kù)攻擊的特征庫(kù)���。
對(duì)于數(shù)據(jù)庫(kù)攻擊來(lái)說(shuō)�,攻擊特征是非常復(fù)雜和千變?nèi)f化的����,數(shù)據(jù)庫(kù)防護(hù)墻是真正實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)語(yǔ)言——SQL語(yǔ)句的精確解析,只有實(shí)現(xiàn)了細(xì)粒度的語(yǔ)句解析才能準(zhǔn)確識(shí)別訪問(wèn)是否存在安全威脅�。
SQL語(yǔ)法的精確解析是數(shù)據(jù)庫(kù)安全防護(hù)手段與傳統(tǒng)手段的根本差異,這一點(diǎn)在數(shù)據(jù)庫(kù)防火墻中尤為重要���。由于普遍的串聯(lián)工作方式�����,解析結(jié)果的準(zhǔn)確度及速度非常重要���,這將直接影響一個(gè)一個(gè)業(yè)務(wù)系統(tǒng)的響應(yīng)速度以及是否能夠運(yùn)作����,不會(huì)被阻斷安全的正常訪問(wèn)����。目前安華金和的數(shù)據(jù)庫(kù)防火墻已經(jīng)在國(guó)家人口庫(kù)、國(guó)家人社部�����、大型物流企業(yè)等關(guān)鍵系統(tǒng)中部署和正常運(yùn)行���,能夠滿足高數(shù)據(jù)量�、高并發(fā)量下的業(yè)務(wù)系統(tǒng)訪問(wèn)的安全過(guò)濾�。
在下文中我們將持續(xù)對(duì)專業(yè)數(shù)據(jù)庫(kù)防火墻產(chǎn)品與其他防護(hù)手段進(jìn)行對(duì)比,說(shuō)明其在數(shù)據(jù)庫(kù)安全領(lǐng)域的核心作用�。
產(chǎn)品咨詢:4000 258 365 
