熟悉信息安全的朋友對防火墻這個名詞一定并不陌生��,顧名思義防火墻就是一種屏障�,其作用是幫助信息系統(tǒng)抵御外部攻擊行為。那么什么是數(shù)據(jù)庫防火墻呢��?
隨著DT時代的到來���,數(shù)據(jù)的價值和重要性越發(fā)凸顯出來�,在用戶對數(shù)據(jù)價值認可的同時,無數(shù)的攻擊者也一直對企業(yè)數(shù)據(jù)躍躍欲試���,甚至付諸行動通過非法獲取的數(shù)據(jù)進行牟利�,這種情況使得用戶對于數(shù)據(jù)安全問題越來越重視�����,也就是在這種環(huán)境下專業(yè)的數(shù)據(jù)庫防護產(chǎn)品數(shù)據(jù)庫防火墻應運而生���。不同于網(wǎng)絡防火墻概念�,數(shù)據(jù)庫防火墻是針對數(shù)據(jù)庫進行專項安全防護的產(chǎn)品���,它可以同時應用于應用側(cè)和運維側(cè)��,是基于數(shù)據(jù)庫通訊協(xié)議進行精準的協(xié)議解析���,快速定位異常攻擊行為并實現(xiàn)事中時時防護。那么數(shù)據(jù)庫防火墻又有什么獨特的武器對數(shù)據(jù)庫進行安全防護呢��?筆者整理了目前成熟的數(shù)據(jù)庫防火墻產(chǎn)品應該具有的的七種特點���,供大家參考:
第一件武器��,安全容災機制是數(shù)據(jù)庫防火墻的必備功能��。
一般數(shù)據(jù)庫防火墻具有三種鏈接部署方式:
透明網(wǎng)橋進行直連串接��;
代理模式定義數(shù)據(jù)庫代理IP���;
旁路監(jiān)聽——鏡像數(shù)據(jù)審計;
其中網(wǎng)橋串聯(lián)模式��,是數(shù)據(jù)庫防火墻最為常用���,也是最能體現(xiàn)防護價值的一種部署模式�����。健全的容災機制���,系統(tǒng)運行的穩(wěn)定性以及對系統(tǒng)性能的影響,是評估數(shù)據(jù)庫防火墻產(chǎn)品的關(guān)鍵��。
其中數(shù)據(jù)庫防火墻常用的容災機制主要包括網(wǎng)橋bypass和HA雙機部署模式���。
Bypass功能:是指在產(chǎn)品異常斷電或系統(tǒng)宕機情況下�����,進行網(wǎng)橋的強制鏈接�����。雖然無法執(zhí)行防護�,但是確保了數(shù)據(jù)庫通訊網(wǎng)絡的暢通,從而確保應用系統(tǒng)的運行�����。
HA雙機部署模式:是采用主備兩臺設備進行雙機部署�����,當主設備異常無法防護時�,強制切換到備用設備繼續(xù)執(zhí)行數(shù)據(jù)庫安全防護。
第二件武器����,虛擬補丁——精致的數(shù)據(jù)庫漏洞防護能力
數(shù)據(jù)庫漏洞攻擊行為,是當前外部入侵數(shù)據(jù)庫的一種常用攻擊行為��。利用數(shù)據(jù)庫自身存在的安全漏洞進行入侵,實現(xiàn)越權(quán)��,托庫等違規(guī)操作��?�;跀?shù)據(jù)庫漏洞補丁進行防護�,存在諸多不便,主要原因如下:
補丁更新周期較長�����,不能及時修復����;
補丁覆蓋范圍較小���,需要補丁的漏洞太多���;
打補丁占用大量資源,很可能影響業(yè)務的正常運行��。
因此�����,數(shù)據(jù)庫防火墻引入了數(shù)據(jù)庫虛擬補丁技術(shù),通過收集并處理CVE報出的各類數(shù)據(jù)庫漏洞�����,在數(shù)據(jù)庫防火墻層面攔截對于數(shù)據(jù)庫漏洞的攻擊行為�����。幫助用戶簡便���,及時����,高效的完成數(shù)據(jù)庫漏洞防護工作�����,很好的抵御外部入侵��。
第三件武器��,SQL注入阻斷能力
數(shù)據(jù)庫漏洞攻擊是基于數(shù)據(jù)庫自身的漏洞進行入侵的行為���,但是當前數(shù)據(jù)庫的運行環(huán)境必然存在大量的應用交互工作���。那么借用應用訪問對數(shù)據(jù)庫實現(xiàn)sql注入攻擊行為�����,就有些防不勝防了�。
數(shù)據(jù)庫防火墻產(chǎn)品通過對SQL語句進行注入特征描述�����,完成對SQL注入行為的檢測和阻斷�。同時數(shù)據(jù)庫防火墻系統(tǒng)提供缺省SQL注入特征庫并支持定制化添加。全面的阻斷了基于應用訪問的攻擊行為���。
第四件武器,黑白名單����,一套周密的防護機制
數(shù)據(jù)庫防火墻一般需要建立一個學習周期,其目就是對數(shù)據(jù)庫訪問的SQL命令進行學習�����,并記錄下學習的結(jié)果。通過語句模板進行歸類映射海量的SQl語句����,基于語句模板進行黑白名單關(guān)聯(lián),可以有效的從應用側(cè)和運維側(cè)兩個層面進行規(guī)則設置�����,實現(xiàn)安全防護����。
黑白名單語句和黑白名單規(guī)則編織成一幅安全防護的防線?��;趦?yōu)先級做規(guī)則遍歷���,黑名單阻斷,攔截����;白名單合規(guī)放行。
第五件武器���,阻斷���、攔截功能充分保證數(shù)據(jù)庫安全性
數(shù)據(jù)庫防火墻區(qū)別于數(shù)據(jù)庫審計產(chǎn)品���,在審計、告警的基礎上新增阻斷����、攔截操作。根據(jù)防火墻的防護規(guī)則�,對非法訪問、入侵行為和語句攻擊進行會話阻斷和語句攔截操作��?���?梢曰诟摺⒅?�、低三種優(yōu)先級進行規(guī)則設置����,以實現(xiàn)風險防護�����。
會話阻斷:是指基于防火墻的風險規(guī)則設置,對高危會話進行強制阻斷���,禁止該會話的所有操作行為�。
語句攔截:是指再會話阻斷效果上做更為細致的限制���,只對風險語句進行攔截�����,不影響會話的整體操作����。
會話阻斷和語句攔截��,從不同的角度基于優(yōu)先級對數(shù)據(jù)庫風險行為進行管控���,有效的保障了數(shù)據(jù)庫的安全�����,真正實現(xiàn)了防火墻的效果���。
第六件武器���,SQL語句準確解析能力——數(shù)據(jù)庫防火墻的核心能力
數(shù)據(jù)庫防火墻由于其串聯(lián)防護的特殊性,準確的協(xié)議解析能力�����,是考量一款數(shù)據(jù)庫防火墻產(chǎn)品的關(guān)鍵��。因為在串聯(lián)的情況下任何的誤報�����、漏報都可能導致不可預期的后果����。
數(shù)據(jù)庫防火墻通過對捕獲的SQL語句進行精細SQL語法分析,并根據(jù)SQL行為特征和關(guān)鍵詞特征進行自動分類,系統(tǒng)訪問SQL語句有效“歸類”到幾百個類別范圍內(nèi)��,完成高準確和高可用分析����;再根據(jù)防火墻周密的規(guī)則設置,對命中風險的語句����、行為進行阻斷、攔截或告警操作��。實現(xiàn)切實可靠的數(shù)據(jù)庫安全保障�����。
第七種武器�����,全面的數(shù)據(jù)庫支撐和細粒度管理
任何一款產(chǎn)品�����,評判是否完善的關(guān)鍵就是在于其支持的范圍是否全面�,功能是否完善。數(shù)據(jù)庫防火墻產(chǎn)品首先需要實現(xiàn)的就是對國內(nèi)外主流數(shù)據(jù)庫產(chǎn)品做到全覆蓋����,以適應不同數(shù)據(jù)庫的安全防護需求。如:Oracle����、SqlServer����、mysql���,DB2�����、sybaSE����、達夢��、金倉��、南大通用等不同的數(shù)據(jù)庫類型和版本��。這是產(chǎn)品的適用性
另外�����,防火墻產(chǎn)品對數(shù)據(jù)庫用戶提供比DBMS系統(tǒng)更詳細的虛擬權(quán)限控制�。控制策略包括:用戶+操作+對象+時間 等多個維度��。同時在控制操作中增加Update Nowhere、delete Nowhere等高危操作�;控制規(guī)則中增加返回行數(shù)和影響行數(shù)控制。 從影響范圍上判斷是否觸及風險是數(shù)據(jù)庫防火墻的一大亮點����。
國內(nèi)專業(yè)的數(shù)據(jù)庫安全廠商安華金和�����,研發(fā)的國內(nèi)首款數(shù)據(jù)庫防火墻產(chǎn)品���,以上的7種武器全部具備�����。歡迎廣大用戶聯(lián)系測試����。
產(chǎn)品咨詢:4000 258 365 
