數(shù)據(jù)庫防火墻是繼傳統(tǒng)網(wǎng)絡(luò)防火墻��、下一代防火墻等安全產(chǎn)品之后�,專門針對數(shù)據(jù)存儲的核心介質(zhì)——數(shù)據(jù)庫的一款數(shù)據(jù)安全防護(hù)產(chǎn)品��。目前�����,國內(nèi)主流數(shù)據(jù)庫防火墻的關(guān)鍵技術(shù)原理如下:
(1)對數(shù)據(jù)庫通訊協(xié)議的解析
數(shù)據(jù)庫防火墻產(chǎn)品對數(shù)據(jù)庫風(fēng)險行為和違規(guī)操作進(jìn)行安全防護(hù)的基礎(chǔ)�,都來自于數(shù)據(jù)庫通訊協(xié)議的解析。通訊協(xié)議解析的越精準(zhǔn)���,數(shù)據(jù)庫的防護(hù)工作越周密安全���。換言之,數(shù)據(jù)庫通訊協(xié)議解析的強弱是評價一款數(shù)據(jù)庫防火墻產(chǎn)品優(yōu)劣的關(guān)鍵����。
(2)黑白名單機制
數(shù)據(jù)庫防火墻進(jìn)行數(shù)據(jù)庫防護(hù)的過程中,除了利用數(shù)據(jù)通訊協(xié)議解析的信息設(shè)置相應(yīng)的風(fēng)險攔截和違規(guī)SQL操作預(yù)定義策略以外���,常用的防護(hù)方式還包括通過學(xué)習(xí)模式以及SQL語法分析構(gòu)建動態(tài)模型���,形成SQL白名單和SQL黑名單���。
行為模型
結(jié)合黑白名單,通過禁止規(guī)則�、許可規(guī)則以及禁止+許可的混合模式規(guī)則對數(shù)據(jù)庫進(jìn)行策略設(shè)置,從而對數(shù)據(jù)庫進(jìn)行防護(hù)��。
策略規(guī)則圖
“禁止規(guī)則”負(fù)責(zé)定義系統(tǒng)需要阻止的危險數(shù)據(jù)庫訪問行為����,所有被“禁止規(guī)則”命中的行為將被阻斷,其余的行為將被放行�。
“許可規(guī)則”負(fù)責(zé)定義應(yīng)用系統(tǒng)的訪問行為和維護(hù)工作的訪問行為,通過“許可規(guī)則”使這些行為在被“禁止規(guī)則”命中前被放行����。
“優(yōu)先禁止規(guī)則”負(fù)責(zé)定義高危的數(shù)據(jù)庫訪問行為,這些策略要先于“許可規(guī)則”被判斷���,命中則阻斷����。
(3)數(shù)據(jù)庫漏洞防護(hù)
在數(shù)據(jù)庫的防護(hù)過程中�����,除了對數(shù)據(jù)庫登錄限定�����,惡意SQL操作攔截,以及批量數(shù)據(jù)下載���、刪改進(jìn)行安全防護(hù)以外。數(shù)據(jù)庫自身存在的一些漏洞缺陷所引發(fā)的安全隱患����,也在數(shù)據(jù)庫防火墻的防護(hù)范圍之內(nèi)��。對于這些風(fēng)險行為進(jìn)行周密而嚴(yán)謹(jǐn)?shù)姆雷o(hù)也是數(shù)據(jù)庫防火墻價值體現(xiàn)的重點項��。之前在CVE上公開了2000多個數(shù)據(jù)庫安全漏洞,這些漏洞給入侵者敞開了大門。雖然數(shù)據(jù)庫廠商會定期推出數(shù)據(jù)庫漏洞補丁�����,在一定程度上降低數(shù)據(jù)庫遭受惡意攻擊的風(fēng)險度���。但是數(shù)據(jù)庫補丁也存在許多適用性問題,主要包括以下4點:
漏洞補丁針對性高����,修補范圍存在局限性�;
發(fā)布補丁包的周期過長,存在數(shù)據(jù)泄露真空期����;
補丁修復(fù)過程中存在兼容性隱患;
數(shù)據(jù)庫補丁漏洞修補周期長���,風(fēng)險大�����,消耗大量資源�。
于是,一種可以在無需修補數(shù)據(jù)庫內(nèi)核的情況下的方法應(yīng)運而生�����,即虛擬補丁�。它相當(dāng)于在數(shù)據(jù)庫外圍創(chuàng)建了一個安全層,從而不用打數(shù)據(jù)庫廠商的補丁��,也不需要停止服務(wù)或進(jìn)行大范圍的回歸測試�����。通過監(jiān)控所有數(shù)據(jù)庫活動��,將監(jiān)控數(shù)據(jù)與保護(hù)規(guī)則相比較��,從而發(fā)現(xiàn)攻擊企圖�����,并在數(shù)據(jù)庫的前端進(jìn)行控制或告警�����。數(shù)據(jù)庫防火墻作為數(shù)據(jù)庫保護(hù)的專項安全產(chǎn)品��,已經(jīng)在國內(nèi)外的用戶端得到了大量應(yīng)用����。
由于數(shù)據(jù)庫防火墻產(chǎn)品需要串聯(lián)至業(yè)務(wù)系統(tǒng)與數(shù)據(jù)庫之間,這需要產(chǎn)品本身具有極高的成熟度����,如何判斷一款產(chǎn)品是否成熟?看它支持了多少高端現(xiàn)場��,服務(wù)了多少用戶���,經(jīng)歷了多少次的大小版本更新��。國內(nèi)專業(yè)的數(shù)據(jù)庫安全廠商安華金和���,研發(fā)的國內(nèi)首款數(shù)據(jù)庫防火墻產(chǎn)品,已成功應(yīng)用于多個大型項目中���,以串聯(lián)部署的方式���,保證業(yè)務(wù)系統(tǒng)在安全狀態(tài)下正常���、高效的運行,為用戶提供了安全����、無感的體驗效果。
產(chǎn)品咨詢:4000 258 365 
