熟悉信息安全的朋友對防火墻這個名詞一定并不陌生,顧名思義防火墻就是一種屏障,其作用是幫助信息系統抵御外部攻擊行為。那么什么是數據庫防火墻呢?
隨著DT時代的到來,數據的價值和重要性越發(fā)凸顯出來,在用戶對數據價值認可的同時,無數的攻擊者也一直對企業(yè)數據躍躍欲試,甚至付諸行動通過非法獲取的數據進行牟利,這種情況使得用戶對于數據安全問題越來越重視,也就是在這種環(huán)境下專業(yè)的數據庫防護產品數據庫防火墻應運而生。不同于網絡防火墻概念,數據庫防火墻是針對數據庫進行專項安全防護的產品,它可以同時應用于應用側和運維側,是基于數據庫通訊協議進行精準的協議解析,快速定位異常攻擊行為并實現事中時時防護。那么數據庫防火墻又有什么獨特的武器對數據庫進行安全防護呢?筆者整理了目前成熟的數據庫防火墻產品應該具有的的七種特點,供大家參考:
一般數據庫防火墻具有三種鏈接部署方式:
透明網橋進行直連串接;
代理模式定義數據庫代理IP;
旁路監(jiān)聽——鏡像數據審計;
其中網橋串聯模式,是數據庫防火墻最為常用,也是最能體現防護價值的一種部署模式。健全的容災機制,系統運行的穩(wěn)定性以及對系統性能的影響,是評估數據庫防火墻產品的關鍵。
其中數據庫防火墻常用的容災機制主要包括網橋bypass和HA雙機部署模式。
Bypass功能:是指在產品異常斷電或系統宕機情況下,進行網橋的強制鏈接。雖然無法執(zhí)行防護,但是確保了數據庫通訊網絡的暢通,從而確保應用系統的運行。
HA雙機部署模式:是采用主備兩臺設備進行雙機部署,當主設備異常無法防護時,強制切換到備用設備繼續(xù)執(zhí)行數據庫安全防護。
數據庫漏洞攻擊行為,是當前外部入侵數據庫的一種常用攻擊行為。利用數據庫自身存在的安全漏洞進行入侵,實現越權,托庫等違規(guī)操作。基于數據庫漏洞補丁進行防護,存在諸多不便,主要原因如下:
補丁更新周期較長,不能及時修復;
補丁覆蓋范圍較小,需要補丁的漏洞太多;
打補丁占用大量資源,很可能影響業(yè)務的正常運行。
因此,數據庫防火墻引入了數據庫虛擬補丁技術,通過收集并處理CVE報出的各類數據庫漏洞,在數據庫防火墻層面攔截對于數據庫漏洞的攻擊行為。幫助用戶簡便,及時,高效的完成數據庫漏洞防護工作,很好的抵御外部入侵。
數據庫漏洞攻擊是基于數據庫自身的漏洞進行入侵的行為,但是當前數據庫的運行環(huán)境必然存在大量的應用交互工作。那么借用應用訪問對數據庫實現sql注入攻擊行為,就有些防不勝防了。
數據庫防火墻產品通過對SQL語句進行注入特征描述,完成對SQL注入行為的檢測和阻斷。同時數據庫防火墻系統提供缺省SQL注入特征庫并支持定制化添加。全面的阻斷了基于應用訪問的攻擊行為。
數據庫防火墻一般需要建立一個學習周期,其目就是對數據庫訪問的SQL命令進行學習,并記錄下學習的結果。通過語句模板進行歸類映射海量的SQl語句,基于語句模板進行黑白名單關聯,可以有效的從應用側和運維側兩個層面進行規(guī)則設置,實現安全防護。
黑白名單語句和黑白名單規(guī)則編織成一幅安全防護的防線。基于優(yōu)先級做規(guī)則遍歷,黑名單阻斷,攔截;白名單合規(guī)放行。
數據庫防火墻區(qū)別于數據庫審計產品,在審計、告警的基礎上新增阻斷、攔截操作。根據防火墻的防護規(guī)則,對非法訪問、入侵行為和語句攻擊進行會話阻斷和語句攔截操作。可以基于高、中、低三種優(yōu)先級進行規(guī)則設置,以實現風險防護。
會話阻斷:是指基于防火墻的風險規(guī)則設置,對高危會話進行強制阻斷,禁止該會話的所有操作行為。
語句攔截:是指再會話阻斷效果上做更為細致的限制,只對風險語句進行攔截,不影響會話的整體操作。
會話阻斷和語句攔截,從不同的角度基于優(yōu)先級對數據庫風險行為進行管控,有效的保障了數據庫的安全,真正實現了防火墻的效果。
數據庫防火墻由于其串聯防護的特殊性,準確的協議解析能力,是考量一款數據庫防火墻產品的關鍵。因為在串聯的情況下任何的誤報、漏報都可能導致不可預期的后果。
數據庫防火墻通過對捕獲的SQL語句進行精細SQL語法分析,并根據SQL行為特征和關鍵詞特征進行自動分類,系統訪問SQL語句有效“歸類”到幾百個類別范圍內,完成高準確和高可用分析;再根據防火墻周密的規(guī)則設置,對命中風險的語句、行為進行阻斷、攔截或告警操作。實現切實可靠的數據庫安全保障。
任何一款產品,評判是否完善的關鍵就是在于其支持的范圍是否全面,功能是否完善。數據庫防火墻產品首先需要實現的就是對國內外主流數據庫產品做到全覆蓋,以適應不同數據庫的安全防護需求。如:Oracle、SqlServer、mysql,DB2、sybaSE、達夢、金倉、南大通用等不同的數據庫類型和版本。這是產品的適用性
另外,防火墻產品對數據庫用戶提供比DBMS系統更詳細的虛擬權限控制。控制策略包括:用戶+操作+對象+時間 等多個維度。同時在控制操作中增加Update Nowhere、delete Nowhere等高危操作;控制規(guī)則中增加返回行數和影響行數控制。 從影響范圍上判斷是否觸及風險是數據庫防火墻的一大亮點。
國內專業(yè)的數據庫安全廠商安華金和,研發(fā)的國內首款數據庫防火墻產品,以上的7種武器全部具備。歡迎廣大用戶聯系測試。
產品咨詢:4000 258 365 
