熟悉信息安全的朋友對防火墻這個名詞一定并不陌生����,顧名思義防火墻就是一種屏障,其作用是幫助信息系統(tǒng)抵御外部攻擊行為���。那么什么是數(shù)據(jù)庫防火墻呢�?
隨著DT時(shí)代的到來��,數(shù)據(jù)的價(jià)值和重要性越發(fā)凸顯出來����,在用戶對數(shù)據(jù)價(jià)值認(rèn)可的同時(shí)����,無數(shù)的攻擊者也一直對企業(yè)數(shù)據(jù)躍躍欲試,甚至付諸行動通過非法獲取的數(shù)據(jù)進(jìn)行牟利����,這種情況使得用戶對于數(shù)據(jù)安全問題越來越重視�����,也就是在這種環(huán)境下專業(yè)的數(shù)據(jù)庫防護(hù)產(chǎn)品數(shù)據(jù)庫防火墻應(yīng)運(yùn)而生�����。不同于網(wǎng)絡(luò)防火墻概念��,數(shù)據(jù)庫防火墻是針對數(shù)據(jù)庫進(jìn)行專項(xiàng)安全防護(hù)的產(chǎn)品��,它可以同時(shí)應(yīng)用于應(yīng)用側(cè)和運(yùn)維側(cè)�,是基于數(shù)據(jù)庫通訊協(xié)議進(jìn)行精準(zhǔn)的協(xié)議解析�����,快速定位異常攻擊行為并實(shí)現(xiàn)事中時(shí)時(shí)防護(hù)�。那么數(shù)據(jù)庫防火墻又有什么獨(dú)特的武器對數(shù)據(jù)庫進(jìn)行安全防護(hù)呢?筆者整理了目前成熟的數(shù)據(jù)庫防火墻產(chǎn)品應(yīng)該具有的的七種特點(diǎn)�����,供大家參考:
第一件武器�����,安全容災(zāi)機(jī)制是數(shù)據(jù)庫防火墻的必備功能。
一般數(shù)據(jù)庫防火墻具有三種鏈接部署方式:
透明網(wǎng)橋進(jìn)行直連串接��;
代理模式定義數(shù)據(jù)庫代理IP�;
旁路監(jiān)聽——鏡像數(shù)據(jù)審計(jì);
其中網(wǎng)橋串聯(lián)模式��,是數(shù)據(jù)庫防火墻最為常用����,也是最能體現(xiàn)防護(hù)價(jià)值的一種部署模式。健全的容災(zāi)機(jī)制���,系統(tǒng)運(yùn)行的穩(wěn)定性以及對系統(tǒng)性能的影響�,是評估數(shù)據(jù)庫防火墻產(chǎn)品的關(guān)鍵����。
其中數(shù)據(jù)庫防火墻常用的容災(zāi)機(jī)制主要包括網(wǎng)橋bypass和HA雙機(jī)部署模式��。
Bypass功能:是指在產(chǎn)品異常斷電或系統(tǒng)宕機(jī)情況下��,進(jìn)行網(wǎng)橋的強(qiáng)制鏈接���。雖然無法執(zhí)行防護(hù)�����,但是確保了數(shù)據(jù)庫通訊網(wǎng)絡(luò)的暢通���,從而確保應(yīng)用系統(tǒng)的運(yùn)行�����。
HA雙機(jī)部署模式:是采用主備兩臺設(shè)備進(jìn)行雙機(jī)部署����,當(dāng)主設(shè)備異常無法防護(hù)時(shí)�,強(qiáng)制切換到備用設(shè)備繼續(xù)執(zhí)行數(shù)據(jù)庫安全防護(hù)。
第二件武器��,虛擬補(bǔ)丁——精致的數(shù)據(jù)庫漏洞防護(hù)能力
數(shù)據(jù)庫漏洞攻擊行為��,是當(dāng)前外部入侵?jǐn)?shù)據(jù)庫的一種常用攻擊行為�。利用數(shù)據(jù)庫自身存在的安全漏洞進(jìn)行入侵,實(shí)現(xiàn)越權(quán)��,托庫等違規(guī)操作?��;跀?shù)據(jù)庫漏洞補(bǔ)丁進(jìn)行防護(hù)�����,存在諸多不便��,主要原因如下:
補(bǔ)丁更新周期較長����,不能及時(shí)修復(fù)�����;
補(bǔ)丁覆蓋范圍較小���,需要補(bǔ)丁的漏洞太多�����;
打補(bǔ)丁占用大量資源�,很可能影響業(yè)務(wù)的正常運(yùn)行����。
因此,數(shù)據(jù)庫防火墻引入了數(shù)據(jù)庫虛擬補(bǔ)丁技術(shù)�����,通過收集并處理CVE報(bào)出的各類數(shù)據(jù)庫漏洞��,在數(shù)據(jù)庫防火墻層面攔截對于數(shù)據(jù)庫漏洞的攻擊行為���。幫助用戶簡便��,及時(shí)��,高效的完成數(shù)據(jù)庫漏洞防護(hù)工作�����,很好的抵御外部入侵����。
第三件武器����,SQL注入阻斷能力
數(shù)據(jù)庫漏洞攻擊是基于數(shù)據(jù)庫自身的漏洞進(jìn)行入侵的行為,但是當(dāng)前數(shù)據(jù)庫的運(yùn)行環(huán)境必然存在大量的應(yīng)用交互工作。那么借用應(yīng)用訪問對數(shù)據(jù)庫實(shí)現(xiàn)sql注入攻擊行為����,就有些防不勝防了。
數(shù)據(jù)庫防火墻產(chǎn)品通過對SQL語句進(jìn)行注入特征描述��,完成對SQL注入行為的檢測和阻斷�。同時(shí)數(shù)據(jù)庫防火墻系統(tǒng)提供缺省SQL注入特征庫并支持定制化添加。全面的阻斷了基于應(yīng)用訪問的攻擊行為����。
第四件武器,黑白名單����,一套周密的防護(hù)機(jī)制
數(shù)據(jù)庫防火墻一般需要建立一個學(xué)習(xí)周期,其目就是對數(shù)據(jù)庫訪問的SQL命令進(jìn)行學(xué)習(xí)�,并記錄下學(xué)習(xí)的結(jié)果。通過語句模板進(jìn)行歸類映射海量的SQl語句��,基于語句模板進(jìn)行黑白名單關(guān)聯(lián)��,可以有效的從應(yīng)用側(cè)和運(yùn)維側(cè)兩個層面進(jìn)行規(guī)則設(shè)置��,實(shí)現(xiàn)安全防護(hù)�����。
黑白名單語句和黑白名單規(guī)則編織成一幅安全防護(hù)的防線?����;趦?yōu)先級做規(guī)則遍歷�,黑名單阻斷����,攔截;白名單合規(guī)放行�����。
第五件武器�,阻斷、攔截功能充分保證數(shù)據(jù)庫安全性
數(shù)據(jù)庫防火墻區(qū)別于數(shù)據(jù)庫審計(jì)產(chǎn)品���,在審計(jì)��、告警的基礎(chǔ)上新增阻斷��、攔截操作����。根據(jù)防火墻的防護(hù)規(guī)則,對非法訪問�����、入侵行為和語句攻擊進(jìn)行會話阻斷和語句攔截操作����。可以基于高���、中�、低三種優(yōu)先級進(jìn)行規(guī)則設(shè)置����,以實(shí)現(xiàn)風(fēng)險(xiǎn)防護(hù)。
會話阻斷:是指基于防火墻的風(fēng)險(xiǎn)規(guī)則設(shè)置���,對高危會話進(jìn)行強(qiáng)制阻斷��,禁止該會話的所有操作行為�����。
語句攔截:是指再會話阻斷效果上做更為細(xì)致的限制�����,只對風(fēng)險(xiǎn)語句進(jìn)行攔截�����,不影響會話的整體操作�����。
會話阻斷和語句攔截��,從不同的角度基于優(yōu)先級對數(shù)據(jù)庫風(fēng)險(xiǎn)行為進(jìn)行管控���,有效的保障了數(shù)據(jù)庫的安全,真正實(shí)現(xiàn)了防火墻的效果����。
第六件武器,SQL語句準(zhǔn)確解析能力——數(shù)據(jù)庫防火墻的核心能力
數(shù)據(jù)庫防火墻由于其串聯(lián)防護(hù)的特殊性�����,準(zhǔn)確的協(xié)議解析能力,是考量一款數(shù)據(jù)庫防火墻產(chǎn)品的關(guān)鍵���。因?yàn)樵诖?lián)的情況下任何的誤報(bào)�、漏報(bào)都可能導(dǎo)致不可預(yù)期的后果���。
數(shù)據(jù)庫防火墻通過對捕獲的SQL語句進(jìn)行精細(xì)SQL語法分析,并根據(jù)SQL行為特征和關(guān)鍵詞特征進(jìn)行自動分類����,系統(tǒng)訪問SQL語句有效“歸類”到幾百個類別范圍內(nèi)��,完成高準(zhǔn)確和高可用分析����;再根據(jù)防火墻周密的規(guī)則設(shè)置,對命中風(fēng)險(xiǎn)的語句����、行為進(jìn)行阻斷、攔截或告警操作�����。實(shí)現(xiàn)切實(shí)可靠的數(shù)據(jù)庫安全保障�。
第七種武器����,全面的數(shù)據(jù)庫支撐和細(xì)粒度管理
任何一款產(chǎn)品�,評判是否完善的關(guān)鍵就是在于其支持的范圍是否全面,功能是否完善��。數(shù)據(jù)庫防火墻產(chǎn)品首先需要實(shí)現(xiàn)的就是對國內(nèi)外主流數(shù)據(jù)庫產(chǎn)品做到全覆蓋�,以適應(yīng)不同數(shù)據(jù)庫的安全防護(hù)需求。如:Oracle���、SqlServer��、mysql,DB2����、sybaSE、達(dá)夢����、金倉、南大通用等不同的數(shù)據(jù)庫類型和版本�。這是產(chǎn)品的適用性
另外,防火墻產(chǎn)品對數(shù)據(jù)庫用戶提供比DBMS系統(tǒng)更詳細(xì)的虛擬權(quán)限控制�����。控制策略包括:用戶+操作+對象+時(shí)間 等多個維度���。同時(shí)在控制操作中增加Update Nowhere�����、delete Nowhere等高危操作���;控制規(guī)則中增加返回行數(shù)和影響行數(shù)控制。 從影響范圍上判斷是否觸及風(fēng)險(xiǎn)是數(shù)據(jù)庫防火墻的一大亮點(diǎn)�����。
國內(nèi)專業(yè)的數(shù)據(jù)庫安全廠商安華金和��,研發(fā)的國內(nèi)首款數(shù)據(jù)庫防火墻產(chǎn)品����,以上的7種武器全部具備。歡迎廣大用戶聯(lián)系測試���。
產(chǎn)品咨詢:4000 258 365 
