數(shù)據(jù)庫防火墻是繼傳統(tǒng)網(wǎng)絡(luò)防火墻����、下一代防火墻等安全產(chǎn)品之后�,專門針對數(shù)據(jù)存儲的核心介質(zhì)——數(shù)據(jù)庫的一款數(shù)據(jù)安全防護產(chǎn)品�。目前�,國內(nèi)主流數(shù)據(jù)庫防火墻的關(guān)鍵技術(shù)原理如下:
(1)對數(shù)據(jù)庫通訊協(xié)議的解析
數(shù)據(jù)庫防火墻產(chǎn)品對數(shù)據(jù)庫風(fēng)險行為和違規(guī)操作進行安全防護的基礎(chǔ)����,都來自于數(shù)據(jù)庫通訊協(xié)議的解析。通訊協(xié)議解析的越精準�,數(shù)據(jù)庫的防護工作越周密安全。換言之�,數(shù)據(jù)庫通訊協(xié)議解析的強弱是評價一款數(shù)據(jù)庫防火墻產(chǎn)品優(yōu)劣的關(guān)鍵。
(2)黑白名單機制
數(shù)據(jù)庫防火墻進行數(shù)據(jù)庫防護的過程中�,除了利用數(shù)據(jù)通訊協(xié)議解析的信息設(shè)置相應(yīng)的風(fēng)險攔截和違規(guī)SQL操作預(yù)定義策略以外,常用的防護方式還包括通過學(xué)習(xí)模式以及SQL語法分析構(gòu)建動態(tài)模型�,形成SQL白名單和SQL黑名單。
行為模型
結(jié)合黑白名單�,通過禁止規(guī)則、許可規(guī)則以及禁止+許可的混合模式規(guī)則對數(shù)據(jù)庫進行策略設(shè)置���,從而對數(shù)據(jù)庫進行防護�����。
策略規(guī)則圖
“禁止規(guī)則”負責(zé)定義系統(tǒng)需要阻止的危險數(shù)據(jù)庫訪問行為���,所有被“禁止規(guī)則”命中的行為將被阻斷,其余的行為將被放行����。
“許可規(guī)則”負責(zé)定義應(yīng)用系統(tǒng)的訪問行為和維護工作的訪問行為���,通過“許可規(guī)則”使這些行為在被“禁止規(guī)則”命中前被放行。
“優(yōu)先禁止規(guī)則”負責(zé)定義高危的數(shù)據(jù)庫訪問行為�,這些策略要先于“許可規(guī)則”被判斷,命中則阻斷���。
(3)數(shù)據(jù)庫漏洞防護
在數(shù)據(jù)庫的防護過程中���,除了對數(shù)據(jù)庫登錄限定,惡意SQL操作攔截�,以及批量數(shù)據(jù)下載、刪改進行安全防護以外����。數(shù)據(jù)庫自身存在的一些漏洞缺陷所引發(fā)的安全隱患,也在數(shù)據(jù)庫防火墻的防護范圍之內(nèi)��。對于這些風(fēng)險行為進行周密而嚴謹?shù)姆雷o也是數(shù)據(jù)庫防火墻價值體現(xiàn)的重點項�����。之前在CVE上公開了2000多個數(shù)據(jù)庫安全漏洞,這些漏洞給入侵者敞開了大門��。雖然數(shù)據(jù)庫廠商會定期推出數(shù)據(jù)庫漏洞補丁�,在一定程度上降低數(shù)據(jù)庫遭受惡意攻擊的風(fēng)險度����。但是數(shù)據(jù)庫補丁也存在許多適用性問題,主要包括以下4點:
漏洞補丁針對性高����,修補范圍存在局限性;
發(fā)布補丁包的周期過長�����,存在數(shù)據(jù)泄露真空期����;
補丁修復(fù)過程中存在兼容性隱患;
數(shù)據(jù)庫補丁漏洞修補周期長����,風(fēng)險大,消耗大量資源�。
于是,一種可以在無需修補數(shù)據(jù)庫內(nèi)核的情況下的方法應(yīng)運而生,即虛擬補丁���。它相當(dāng)于在數(shù)據(jù)庫外圍創(chuàng)建了一個安全層��,從而不用打數(shù)據(jù)庫廠商的補丁���,也不需要停止服務(wù)或進行大范圍的回歸測試。通過監(jiān)控所有數(shù)據(jù)庫活動�,將監(jiān)控數(shù)據(jù)與保護規(guī)則相比較,從而發(fā)現(xiàn)攻擊企圖����,并在數(shù)據(jù)庫的前端進行控制或告警。數(shù)據(jù)庫防火墻作為數(shù)據(jù)庫保護的專項安全產(chǎn)品���,已經(jīng)在國內(nèi)外的用戶端得到了大量應(yīng)用���。
由于數(shù)據(jù)庫防火墻產(chǎn)品需要串聯(lián)至業(yè)務(wù)系統(tǒng)與數(shù)據(jù)庫之間,這需要產(chǎn)品本身具有極高的成熟度�����,如何判斷一款產(chǎn)品是否成熟��?看它支持了多少高端現(xiàn)場,服務(wù)了多少用戶���,經(jīng)歷了多少次的大小版本更新�����。國內(nèi)專業(yè)的數(shù)據(jù)庫安全廠商安華金和,研發(fā)的國內(nèi)首款數(shù)據(jù)庫防火墻產(chǎn)品�����,已成功應(yīng)用于多個大型項目中���,以串聯(lián)部署的方式�,保證業(yè)務(wù)系統(tǒng)在安全狀態(tài)下正常���、高效的運行�,為用戶提供了安全����、無感的體驗效果。
產(chǎn)品咨詢:4000 258 365 
