數(shù)據(jù)庫防火墻是繼傳統(tǒng)網(wǎng)絡(luò)防火墻����、下一代防火墻等安全產(chǎn)品之后���,專門針對數(shù)據(jù)存儲的核心介質(zhì)——數(shù)據(jù)庫的一款數(shù)據(jù)安全防護(hù)產(chǎn)品�����。目前�����,國內(nèi)主流數(shù)據(jù)庫防火墻的關(guān)鍵技術(shù)原理如下:
(1)對數(shù)據(jù)庫通訊協(xié)議的解析
數(shù)據(jù)庫防火墻產(chǎn)品對數(shù)據(jù)庫風(fēng)險(xiǎn)行為和違規(guī)操作進(jìn)行安全防護(hù)的基礎(chǔ)�,都來自于數(shù)據(jù)庫通訊協(xié)議的解析。通訊協(xié)議解析的越精準(zhǔn)����,數(shù)據(jù)庫的防護(hù)工作越周密安全。換言之���,數(shù)據(jù)庫通訊協(xié)議解析的強(qiáng)弱是評價(jià)一款數(shù)據(jù)庫防火墻產(chǎn)品優(yōu)劣的關(guān)鍵��。
(2)黑白名單機(jī)制
數(shù)據(jù)庫防火墻進(jìn)行數(shù)據(jù)庫防護(hù)的過程中�,除了利用數(shù)據(jù)通訊協(xié)議解析的信息設(shè)置相應(yīng)的風(fēng)險(xiǎn)攔截和違規(guī)SQL操作預(yù)定義策略以外����,常用的防護(hù)方式還包括通過學(xué)習(xí)模式以及SQL語法分析構(gòu)建動(dòng)態(tài)模型,形成SQL白名單和SQL黑名單�����。
行為模型
結(jié)合黑白名單�����,通過禁止規(guī)則、許可規(guī)則以及禁止+許可的混合模式規(guī)則對數(shù)據(jù)庫進(jìn)行策略設(shè)置����,從而對數(shù)據(jù)庫進(jìn)行防護(hù)。
策略規(guī)則圖
“禁止規(guī)則”負(fù)責(zé)定義系統(tǒng)需要阻止的危險(xiǎn)數(shù)據(jù)庫訪問行為���,所有被“禁止規(guī)則”命中的行為將被阻斷�����,其余的行為將被放行��。
“許可規(guī)則”負(fù)責(zé)定義應(yīng)用系統(tǒng)的訪問行為和維護(hù)工作的訪問行為����,通過“許可規(guī)則”使這些行為在被“禁止規(guī)則”命中前被放行���。
“優(yōu)先禁止規(guī)則”負(fù)責(zé)定義高危的數(shù)據(jù)庫訪問行為��,這些策略要先于“許可規(guī)則”被判斷,命中則阻斷����。
(3)數(shù)據(jù)庫漏洞防護(hù)
在數(shù)據(jù)庫的防護(hù)過程中���,除了對數(shù)據(jù)庫登錄限定,惡意SQL操作攔截����,以及批量數(shù)據(jù)下載、刪改進(jìn)行安全防護(hù)以外��。數(shù)據(jù)庫自身存在的一些漏洞缺陷所引發(fā)的安全隱患����,也在數(shù)據(jù)庫防火墻的防護(hù)范圍之內(nèi)。對于這些風(fēng)險(xiǎn)行為進(jìn)行周密而嚴(yán)謹(jǐn)?shù)姆雷o(hù)也是數(shù)據(jù)庫防火墻價(jià)值體現(xiàn)的重點(diǎn)項(xiàng)����。之前在CVE上公開了2000多個(gè)數(shù)據(jù)庫安全漏洞,這些漏洞給入侵者敞開了大門���。雖然數(shù)據(jù)庫廠商會(huì)定期推出數(shù)據(jù)庫漏洞補(bǔ)丁��,在一定程度上降低數(shù)據(jù)庫遭受惡意攻擊的風(fēng)險(xiǎn)度����。但是數(shù)據(jù)庫補(bǔ)丁也存在許多適用性問題,主要包括以下4點(diǎn):
漏洞補(bǔ)丁針對性高����,修補(bǔ)范圍存在局限性;
發(fā)布補(bǔ)丁包的周期過長����,存在數(shù)據(jù)泄露真空期;
補(bǔ)丁修復(fù)過程中存在兼容性隱患����;
數(shù)據(jù)庫補(bǔ)丁漏洞修補(bǔ)周期長,風(fēng)險(xiǎn)大�����,消耗大量資源����。
于是,一種可以在無需修補(bǔ)數(shù)據(jù)庫內(nèi)核的情況下的方法應(yīng)運(yùn)而生���,即虛擬補(bǔ)丁����。它相當(dāng)于在數(shù)據(jù)庫外圍創(chuàng)建了一個(gè)安全層,從而不用打數(shù)據(jù)庫廠商的補(bǔ)丁�,也不需要停止服務(wù)或進(jìn)行大范圍的回歸測試���。通過監(jiān)控所有數(shù)據(jù)庫活動(dòng)���,將監(jiān)控?cái)?shù)據(jù)與保護(hù)規(guī)則相比較,從而發(fā)現(xiàn)攻擊企圖����,并在數(shù)據(jù)庫的前端進(jìn)行控制或告警。數(shù)據(jù)庫防火墻作為數(shù)據(jù)庫保護(hù)的專項(xiàng)安全產(chǎn)品��,已經(jīng)在國內(nèi)外的用戶端得到了大量應(yīng)用�����。
由于數(shù)據(jù)庫防火墻產(chǎn)品需要串聯(lián)至業(yè)務(wù)系統(tǒng)與數(shù)據(jù)庫之間�,這需要產(chǎn)品本身具有極高的成熟度,如何判斷一款產(chǎn)品是否成熟��?看它支持了多少高端現(xiàn)場�����,服務(wù)了多少用戶,經(jīng)歷了多少次的大小版本更新���。國內(nèi)專業(yè)的數(shù)據(jù)庫安全廠商安華金和�����,研發(fā)的國內(nèi)首款數(shù)據(jù)庫防火墻產(chǎn)品���,已成功應(yīng)用于多個(gè)大型項(xiàng)目中,以串聯(lián)部署的方式����,保證業(yè)務(wù)系統(tǒng)在安全狀態(tài)下正常、高效的運(yùn)行��,為用戶提供了安全��、無感的體驗(yàn)效果�����。
產(chǎn)品咨詢:4000 258 365 
