這第一篇我們來說數據庫防火墻的父輩,家族元老級成員:網絡防火墻。
自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統,提出防火墻的概念,防火墻技術得到了飛速的發展。經過多年的基因優化,網絡防火墻歷經多次變革,已經演變成一個全方位的安全技術集成系統。
他被委以重任,肩負多重安全責任
威脅形態不斷演進,曾經風光無限的他,今日卻也面臨尷尬境地
曾經有句話,說防火墻配置的好,中了木馬都沒法控制你。2008年之前,電腦的安全軟件標配基本是病毒防火墻+網絡防火墻,天網、瑞星、金山……曾經紅極一時,可漸漸,面對黑客越來越精妙的攻擊技術,他們卻潰不成軍。
如今的黑客,可以利用開放的端口,巧妙躲過網絡防火墻的監測,或者利用更為復雜的攻擊方法,繞過網絡防火墻,直接攻擊數據庫系統,獲取企業核心數據。安全態勢不斷演變,安全威脅不斷升級,對于核心數據庫的防護,父輩的網絡防火墻已力不從心,數據庫防火墻應運而生,青出于藍而勝于藍,繼承了父輩的優良血統,同時更精準、細化的數據庫防護能力,讓它迅速成為家族中的明日之星。
就在幾年前,數據庫防火墻降生到安全家族。短短幾年,這個家族新人已經逐漸成為企業核心數據防護的首要利器,相比于網絡防火墻的邊界安全屬性,數據庫防火墻的出現,真正解決了數據庫本身的安全防護問題,雖然兩者都是為訪問行為的識別與管控而生,但是面對數據庫層面的安全防護,顯然數據庫防火墻技高一籌。
他的獨特標簽:對數據庫通訊協議的準確解析能力
對數據庫通訊協議的解析,可以說數據庫防火墻最閃耀的標簽。這一點有多重要?我們用三個場景來說明:
1. 面對外部黑客攻擊
對于外部黑客利用Web應用漏洞進行的SQL注入,或以Web應用服務器為跳板,利用 數據庫自身漏洞進行的攻擊行為,由于無法解析數據庫通訊協議,對于此類攻擊行為網絡防火墻無法識別和阻斷;另一方面,不具有虛擬補丁功能的網絡防護墻同樣無法防御對于數據庫自身漏洞發起的攻擊行為。
2. 面對內部人員訪問行為
對于用戶內部的系統維護人員、外包人員、開發人員,擁有直接訪問數據庫的權限,對于內部人員的高危操作,網絡防火墻無法識別,只能無奈放行。而數據庫防火墻基于精準的SQL語句解析,能夠準確識別內部人員的風險操作,通過限定更新和刪除影響行、限定無Where的更新和刪除操作、限定drop、truncate等手段進行風險行為識別和阻斷,避免由內部人員高危操作導致的數據安全風險。
3、面對數據泄露風險
黑客、開發人員可以通過應用批量下載數據,內部維護人員可以遠程或本地批量導出敏感數據。這是當前數據泄露事件的兩大成因,只能識別IP與端口號的網絡防火墻無計可施,而數據庫防火墻則準確至數據庫訪問賬號及訪問行數的控制,犀利識別數據庫風險操作。
完美的加分項:全面的事后追蹤和審計能力
除了最核心的數據庫通訊協議解析能力,更全面的事后追蹤和審計能力為數據庫防火墻增色不少。當用戶面臨內部人員數據竊取及泄露行為,事后的全面追蹤與審計就顯得尤為重要。網絡防火墻的審計能力是基于對網絡層的數據流量統計和記錄,而數據庫防火墻提供真正對數據庫訪問行為的記錄,對風險行為進行的多種方式告警,一步到位,讓泄露者無所遁形。
我們之所以把網絡防火墻比作數據庫防火墻的父輩,除了兩者在基本功能上的共通點,好比是血緣上的類同,另一方面,從網絡層縱深至數據庫層,父子間對于核心數據更深層的安全防護,更像是一種家族使命的繼承。數據庫防火墻的出現,開啟了數據庫安全主動防御的時代,當我們的目光從網絡邊界觸達核心數據庫,隨著網絡安全家族的不斷擴充,整個防護體系逐漸完善,面對未知的威脅,有他們在,我們敢于面對。
父與子的故事說到這兒,下一期我們來介紹另一位家族成員,數據庫防火墻的堂兄——web防火墻,敬請期待吧。
產品咨詢:4000 258 365 
