数据库防火墙
数据库防火墙顾名思义是一款数据(库)安全设备,从防火墙这个词可以看出,其主要作用是做来自于外部的危险隔离。换句话说,数据库防火墙应该在入侵在到达数据库之前将其阻断,至少需要在入侵过程中将其阻断。
1. 如何定义外部?
至于如何定义外部威胁,则需要对于数据库边界进行明确的界定,而这个数据库边界的界定则具有多变性。第一种定义,从极限的角度来看,由于现在网络边界的模糊,可以把所有来自于数据库之外的访问都定义为外部。如果是这个定义来看,防火墙承载的任务非常繁重,可能不是一个安全设备所能够承担的。第二种定义是数据中心和运维网络可以被定义为内部访问,其他访问定义为外部访问,让防火墙不需要去承载内部运维安全和员工安全,从而更好的工作。
综合看来,我们采用第二种定义,数据库防火墙主要承载数据中心和运维网络之外的数据(库)安全工作。
2. 如何定义数据库防火墙?
一旦准确的定义了什么是外部之后,什么是数据库防火墙就比较清楚了。运维网络之外的访问我们都可以定义为业务访问。
数据库防火墙是一款抵御并消除由于应用程序业务逻辑漏洞或者缺陷所导致的数据(库)安全问题的安全设备或者产品。数据库防火墙一般情况下部署在应用程序服务器和数据库服务器之间,采用数据库协议解析的方式完成。但这并不是唯一的实现方式,你可以部署在数据库外部,可以不采用协议解析。从这个定义可以看出,数据库防火墙其本质目标是给业务应用程序打补丁,避免由于应用程序业务逻辑漏洞或者缺陷影响数据(库)安全。
经过多年的技术积累和沉淀后在数据库审计基础之上推出的又一款数据库安全防护产品。数据库防火墙不仅实现了各类操作行为的审计,且增加了主动防御机制,实现对数据库访问行为的控制,对危险行为进行阻断。
主要特性
1、精准拦截
可基于IP地址、时间、操作、关键字、数据库账号、语句长度、列名、表名、行数、注入特征库等多种条件进行阻断,实现精确地访问控制。
2、应用协议智能识别控制
可自动识别DBA协议、运维协议、黑客访问、应用软件,针对数据库所有接口访问的全面监视,并实现有效的访问控制。
3、防APT攻击
根据访问行为的组合、统计模型迅速验证并阻断复杂持续的违规操作及恶意攻击行为。
4、内置AI
内置智能学习模块,机器智能学习,自动建模,自动生成阻断规则库主动防御未知安全威胁。
5、多种工作模式
支持全局的审计模式与防火墙模式在线切换,无需重启设备。防火墙模式能实时阻断违反规则报文;全局审计模式快速转发报文,完整审计记录留存。
6、职权分离
管理与审计相隔离,实现三权分立,有日志留存、方便互相监督,做到审计清晰,权限清晰。
7、强兼容性
支持MySQL、Oracle、MSSQL等多种数据库威胁拦截。
8、旁路阻断
支持旁路部署阻断模式,避免串联部署存在单点故障及给数据库访问带来时延的隐患,对现有网络结构“零”改变、“零”影响。
优势
准
1、基于多种条件类型规则匹配的细粒度精准识别与拦截。
狠
1、通过组合规则、统计规则实现APT等复杂攻击检测与拦截,攻击IP加入黑名单。
智能
1、通过AI技术,实现对陌生主机、陌生工具、陌生账号访问以及陌生IP访问数据库等行为的实时阻断;
2、可自动识别对数据库的各种访问,实现对应用、运维工具和黑客攻击等潜在风险的智能识别与拦截。
高可靠
1、基于硬件的Bypass功能,防止单点故障;
2、基于HA的高可用性集群。
高性能
1、日志检索:支持亿级数据秒级检索;
2、处理能力:电信级数据处理能力高并发承载保障;
3、使用高性能硬件平台、内核优化技术,满足高负载环境下的性能要求。
部署方式
支持透明桥接模式和代理接入模式:
1、透明桥接模式下,不需对其设置IP地址,对原有网络配置“零”影响,通过多种bypass模式,确保各种软、硬件故障情况业务仍正常运行。
2、代理接入模式:客户端逻辑连接防火墙设备地址,防火墙设备转发流量到数据库服务器;通过代理接入模式,网络拓扑结构不变。