產品概述

安華金和數據庫防火墻系統（簡稱DPS），是一款針對應用側異常數據訪問的數據庫安全防護產品。

DPS采用主動防御機制，通過虛擬補丁技術捕獲和阻斷漏洞攻擊行為，通過SQL注入特征庫捕獲和阻斷SQL注入行為，實現數據庫的訪問行為控制、高危風險阻斷和可疑行為審計DPS通過SQL協議分析，根據預定義的禁止和許可策略讓合法的SQL操作通過，阻斷非法違規操作，形成數據庫的外圍防御圈,實現SQL危險操作的主動預防、實時審計。
對于IPS類產品最重要的是在保持“低漏報率”的同時維護“低誤報率”；對于數據庫而言這點更為關鍵，一點點“誤報”可能就會造成重大業務影響。 DPS提供強大的應用行為描述方法，以對合法應用行為放行，將誤報率降低為“零”。 SQL白名單：DPS通過語法抽象描述不同類型的SQL語句，規避參數帶來的多樣化；通過應用學習捕獲所有合法SQL的語法抽象，建立應用SQL白名單庫。
DPS面對來自于外部的入侵行為，提供防SQL注入禁止和數據庫虛擬補訂包功能；通過虛擬補丁包，數據庫系統不用升級、打補丁，即可完成對主要數據庫漏洞的防控。
DPS支持Oracle、SQL Server 、MySQL等國際主流數據庫產品。能夠在不影響數據庫原有性能、無需應用進行改造的前提下，提供可靠數據庫安全保護服務。

產品功能

應用‘零’誤報技術、快速部署實施能力、全面的入侵防御技術、審計追蹤非法行為、虛擬補丁技術、返回行超標禁止技術。?
防止外部黑客攻擊 威脅：黑客利用Web應用漏洞，進行SQL注入；或以Web應用服務器為跳板，利用數據庫自身漏洞攻擊和侵入。 防護：通過虛擬補丁技術捕獲和阻斷漏洞攻擊行為，通過SQL注入特征庫捕獲和阻斷SQL注入行為。
? 防止內部高危操作 威脅：系統維護人員、外包人員、開發人員等，擁有直接訪問數據庫的權限，有意無意的高危操作對數據造成破壞。 防護：通過限定更新和刪除影響行、限定無Where的更新和刪除操作、限定drop、truncate等高危操作避免大規模損失。
? 防止敏感數據泄漏 威脅：黑客、開發人員可以通過應用批量下載敏感數據，內部維護人員遠程或本地批量導出敏感數據。 防護：限定數據查詢和下載數量、限定敏感數據訪問的用戶、地點和時間。
? 審計追蹤非法行為 威脅：業務人員在第三方利益誘惑下，通過業務系統提供的功能完成對敏感信息的訪問，進行信息的售賣和數據篡改。 防護：提供對所有數據訪問行為的記錄，對風險行為進行SysLog、郵件、短信等方式的告警，提供事后追蹤分析工具

產品部署和適用場景

透明網橋模式：在網絡上物理串聯接入DPS設備，所有用戶訪問的網絡流量都串聯流經設備，通過透明網橋技術，客戶端看到的數據庫地址不變。 代理接入模式：網絡上并聯接入DPS設備，客戶端邏輯連接防火墻設備地址，防火墻設備轉發流量到數據庫服務器。 適用場景： 場景1: 防止外部黑客通過互聯網業務系統侵入數據庫，進行數據竊取和數據破壞；對非法或危險行為進行實時攔截 場景2：對內部人員進行控制，包括：開發人員（本公司&外包）和DBA可以實時地監控所有對數據庫的訪問 在旁路部署模式DPS設備不直接接入網絡，而是通過TAP、SPAN等技術將網絡流量映射到防火墻設備；DPS對數據庫流量進行審計和告警。 適用于高吞吐量、性能高度敏感業務系統（如電信計費系統），需要持續監控系統的訪問行為和安全事件的事后分析。 DPS支持在一臺數據庫防火墻設備上同時進行串聯和旁路兩種接入模式，對不同的數據庫實例支持IPS和IDS兩種運行模式。
在一個大型企業環境下，根據不同的數據庫安全需要，可以接入多臺DPS設備，不同的設備對應不同的安全需求，實現不同的安全策略。根據不同的安全設備接入方式和不同的應用策略，DPS可以有如下的產品應用形式：1、作為數據庫審計產品，提供全面數據庫審計能力，符合等保三級需求。2、作為數據庫入侵防御產品，接入在應用服務器和數據庫服務器之間，防止外部黑客入侵。3、作為數據庫運維管控產品，內部數據庫運維接口，防止運維人員高危操作和泄漏敏感數據。4、作為內外網隔離裝置，替代傳統防火墻、IDS、IPS產品，實現唯一內網接入通道——安全數據庫通訊。