數據庫防火墻是繼傳統網絡防火墻、下一代防火墻等安全產品之后,專門針對數據存儲的核心介質——數據庫的一款數據安全防護產品。目前,國內主流數據庫防火墻的關鍵技術原理如下:
(1)對數據庫通訊協議的解析
數據庫防火墻產品對數據庫風險行為和違規操作進行安全防護的基礎,都來自于數據庫通訊協議的解析。通訊協議解析的越精準,數據庫的防護工作越周密安全。換言之,數據庫通訊協議解析的強弱是評價一款數據庫防火墻產品優劣的關鍵。
(2)黑白名單機制
數據庫防火墻進行數據庫防護的過程中,除了利用數據通訊協議解析的信息設置相應的風險攔截和違規SQL操作預定義策略以外,常用的防護方式還包括通過學習模式以及SQL語法分析構建動態模型,形成SQL白名單和SQL黑名單。
行為模型
結合黑白名單,通過禁止規則、許可規則以及禁止+許可的混合模式規則對數據庫進行策略設置,從而對數據庫進行防護。
策略規則圖
“禁止規則”負責定義系統需要阻止的危險數據庫訪問行為,所有被“禁止規則”命中的行為將被阻斷,其余的行為將被放行。
“許可規則”負責定義應用系統的訪問行為和維護工作的訪問行為,通過“許可規則”使這些行為在被“禁止規則”命中前被放行。
“優先禁止規則”負責定義高危的數據庫訪問行為,這些策略要先于“許可規則”被判斷,命中則阻斷。
(3)數據庫漏洞防護
在數據庫的防護過程中,除了對數據庫登錄限定,惡意SQL操作攔截,以及批量數據下載、刪改進行安全防護以外。數據庫自身存在的一些漏洞缺陷所引發的安全隱患,也在數據庫防火墻的防護范圍之內。對于這些風險行為進行周密而嚴謹的防護也是數據庫防火墻價值體現的重點項。之前在CVE上公開了2000多個數據庫安全漏洞,這些漏洞給入侵者敞開了大門。雖然數據庫廠商會定期推出數據庫漏洞補丁,在一定程度上降低數據庫遭受惡意攻擊的風險度。但是數據庫補丁也存在許多適用性問題,主要包括以下4點:
漏洞補丁針對性高,修補范圍存在局限性;
發布補丁包的周期過長,存在數據泄露真空期;
補丁修復過程中存在兼容性隱患;
數據庫補丁漏洞修補周期長,風險大,消耗大量資源。
于是,一種可以在無需修補數據庫內核的情況下的方法應運而生,即虛擬補丁。它相當于在數據庫外圍創建了一個安全層,從而不用打數據庫廠商的補丁,也不需要停止服務或進行大范圍的回歸測試。通過監控所有數據庫活動,將監控數據與保護規則相比較,從而發現攻擊企圖,并在數據庫的前端進行控制或告警。數據庫防火墻作為數據庫保護的專項安全產品,已經在國內外的用戶端得到了大量應用。
由于數據庫防火墻產品需要串聯至業務系統與數據庫之間,這需要產品本身具有極高的成熟度,如何判斷一款產品是否成熟?看它支持了多少高端現場,服務了多少用戶,經歷了多少次的大小版本更新。國內專業的數據庫安全廠商安華金和,研發的國內首款數據庫防火墻產品,已成功應用于多個大型項目中,以串聯部署的方式,保證業務系統在安全狀態下正常、高效的運行,為用戶提供了安全、無感的體驗效果。
產品咨詢:4000 258 365 
