數(shù)據(jù)庫防火墻是繼傳統(tǒng)網(wǎng)絡(luò)防火墻����、下一代防火墻等安全產(chǎn)品之后����,專門針對數(shù)據(jù)存儲的核心介質(zhì)——數(shù)據(jù)庫的一款數(shù)據(jù)安全防護產(chǎn)品。目前��,國內(nèi)主流數(shù)據(jù)庫防火墻的關(guān)鍵技術(shù)原理如下:
(1)對數(shù)據(jù)庫通訊協(xié)議的解析
數(shù)據(jù)庫防火墻產(chǎn)品對數(shù)據(jù)庫風(fēng)險行為和違規(guī)操作進行安全防護的基礎(chǔ)�,都來自于數(shù)據(jù)庫通訊協(xié)議的解析���。通訊協(xié)議解析的越精準,數(shù)據(jù)庫的防護工作越周密安全����。換言之,數(shù)據(jù)庫通訊協(xié)議解析的強弱是評價一款數(shù)據(jù)庫防火墻產(chǎn)品優(yōu)劣的關(guān)鍵�����。
(2)黑白名單機制
數(shù)據(jù)庫防火墻進行數(shù)據(jù)庫防護的過程中��,除了利用數(shù)據(jù)通訊協(xié)議解析的信息設(shè)置相應(yīng)的風(fēng)險攔截和違規(guī)SQL操作預(yù)定義策略以外�����,常用的防護方式還包括通過學(xué)習(xí)模式以及SQL語法分析構(gòu)建動態(tài)模型��,形成SQL白名單和SQL黑名單���。
行為模型
結(jié)合黑白名單,通過禁止規(guī)則���、許可規(guī)則以及禁止+許可的混合模式規(guī)則對數(shù)據(jù)庫進行策略設(shè)置�����,從而對數(shù)據(jù)庫進行防護���。
策略規(guī)則圖
“禁止規(guī)則”負責定義系統(tǒng)需要阻止的危險數(shù)據(jù)庫訪問行為�,所有被“禁止規(guī)則”命中的行為將被阻斷����,其余的行為將被放行。
“許可規(guī)則”負責定義應(yīng)用系統(tǒng)的訪問行為和維護工作的訪問行為�����,通過“許可規(guī)則”使這些行為在被“禁止規(guī)則”命中前被放行����。
“優(yōu)先禁止規(guī)則”負責定義高危的數(shù)據(jù)庫訪問行為,這些策略要先于“許可規(guī)則”被判斷��,命中則阻斷����。
(3)數(shù)據(jù)庫漏洞防護
在數(shù)據(jù)庫的防護過程中,除了對數(shù)據(jù)庫登錄限定���,惡意SQL操作攔截�����,以及批量數(shù)據(jù)下載��、刪改進行安全防護以外���。數(shù)據(jù)庫自身存在的一些漏洞缺陷所引發(fā)的安全隱患�����,也在數(shù)據(jù)庫防火墻的防護范圍之內(nèi)。對于這些風(fēng)險行為進行周密而嚴謹?shù)姆雷o也是數(shù)據(jù)庫防火墻價值體現(xiàn)的重點項�����。之前在CVE上公開了2000多個數(shù)據(jù)庫安全漏洞�,這些漏洞給入侵者敞開了大門。雖然數(shù)據(jù)庫廠商會定期推出數(shù)據(jù)庫漏洞補丁�����,在一定程度上降低數(shù)據(jù)庫遭受惡意攻擊的風(fēng)險度���。但是數(shù)據(jù)庫補丁也存在許多適用性問題���,主要包括以下4點:
漏洞補丁針對性高��,修補范圍存在局限性���;
發(fā)布補丁包的周期過長,存在數(shù)據(jù)泄露真空期���;
補丁修復(fù)過程中存在兼容性隱患���;
數(shù)據(jù)庫補丁漏洞修補周期長,風(fēng)險大���,消耗大量資源���。
于是,一種可以在無需修補數(shù)據(jù)庫內(nèi)核的情況下的方法應(yīng)運而生���,即虛擬補丁�����。它相當于在數(shù)據(jù)庫外圍創(chuàng)建了一個安全層���,從而不用打數(shù)據(jù)庫廠商的補丁��,也不需要停止服務(wù)或進行大范圍的回歸測試����。通過監(jiān)控所有數(shù)據(jù)庫活動��,將監(jiān)控數(shù)據(jù)與保護規(guī)則相比較�,從而發(fā)現(xiàn)攻擊企圖,并在數(shù)據(jù)庫的前端進行控制或告警��。數(shù)據(jù)庫防火墻作為數(shù)據(jù)庫保護的專項安全產(chǎn)品�����,已經(jīng)在國內(nèi)外的用戶端得到了大量應(yīng)用�����。
由于數(shù)據(jù)庫防火墻產(chǎn)品需要串聯(lián)至業(yè)務(wù)系統(tǒng)與數(shù)據(jù)庫之間�����,這需要產(chǎn)品本身具有極高的成熟度�,如何判斷一款產(chǎn)品是否成熟?看它支持了多少高端現(xiàn)場���,服務(wù)了多少用戶�����,經(jīng)歷了多少次的大小版本更新�����。國內(nèi)專業(yè)的數(shù)據(jù)庫安全廠商安華金和�,研發(fā)的國內(nèi)首款數(shù)據(jù)庫防火墻產(chǎn)品�����,已成功應(yīng)用于多個大型項目中�����,以串聯(lián)部署的方式�,保證業(yè)務(wù)系統(tǒng)在安全狀態(tài)下正常、高效的運行��,為用戶提供了安全、無感的體驗效果�����。
產(chǎn)品咨詢:4000 258 365 
