産品簡介
中安威士資料庫防火牆系統(簡稱VS-FW),是由中安威士(北京)科技有限公司自主開發并具有完全知識産權的資料庫通路控制類産品。該系統通過實時分析使用者對資料庫的通路行為,自動建立合法通路資料庫的特征模型。同時,通過獨特的通路控制和虛拟更新檔等防護手段,及時發現并阻斷SQL注入攻擊和違反企業規範的資料庫通路請求。主要功能包括攻擊檢測、多因子認證、通路控制、防漏掃、自動模組化和審計等。該産品具有有效阻斷危險通路、性能高和報表豐富等優勢,幫助企業有效保護核心資料,保障業務營運安全,并快速的滿足合規要求。
産品功能
• 多因子認證
基于IP位址、MAC位址、使用者、應用程式、時間等因子對通路者進行身份認證,形成多因子認證,彌補單一密碼認證方式安全性的不足。應用程式對資料庫的通路,必須經過資料庫防火牆和資料庫自身兩層身份認證。
• 屏蔽直接通路資料庫的通道
資料庫防火牆部署于資料庫伺服器和應用伺服器之間,屏蔽直接通路資料庫的通道,防止資料庫隐通道對資料庫的攻擊。
• 攻擊檢測和保護
實時檢測使用者對資料庫進行SQL注入和緩沖區溢出的攻擊,并報警或者阻止攻擊行為,同時詳細記錄攻擊操作發生的時間、來源IP、使用者名、攻擊代碼等資訊。
• 行為基線—自動建立通路模型
系統将自動學習每一個應用的通路語句,進行模式提取和分類,自動生成行為特征模型,并可以對學習結果進行編輯。系統通過檢查通路行為與基線的偏差來識别風險。
• 連接配接監控
實時監控資料庫的連接配接資訊、風險狀态等。
• 虛拟更新檔
資料庫系統是個複雜的系統,自身存在很多漏洞,容易被攻擊者利用進而導緻資料洩漏或緻使系統癱瘓。由于需要保證業務連續性等多種原因,使用者通常不會及時對資料庫進行更新檔安裝。中安威士資料庫防火牆通過内置的多種漏洞特征庫防止已知漏洞被掃描和利用,并有效降低資料庫被0day攻擊的風險。
• 報 表
提供豐富的報表模闆,包括各種審計報表、安全趨勢等。
• 安全審計
系統能夠記錄對資料庫伺服器的通路情況,包括使用者名、程式名、IP位址、請求的資料庫、連接配接斷開的時間、風險等資訊,并提供靈活的查詢分析功能。
特性優勢
技術優勢
• 全自主技術體系:形成高技術壁壘
• 高速分析技術:特殊資料包分析和轉發技術,實作高效的網絡通信内容過濾
• 多線程技術和緩存技術:支援高并發連接配接
• 基于BigTable和MapReduce的存儲:單機環境高效、海量存儲
• 基于反向索引的檢索:高效、靈活日志檢索,報表生成
高性能
• 連續處理能力:4000~8萬以上SQL/s
• 日志檢索速度: 1億條記錄,帶通配符模糊檢索,<1分鐘
• 日志存儲能力: 30億 ~100億SQL/TB
高可用性
• 基基于硬體的Bypass功能,防止單點失敗
• 支援雙機熱備功能,保證連續服務能力
• 支援自動日志備份
• 支援SNMP、Syslog等日志外發
• 支援時間同步
• 多種部署方式可選擇,支援純透明部署
• ......
高安全性
• 細粒度的通路控制
• 可以靈活的對每個應用程式的通路權限進行配置
• 支援黑名單、白名單規則
• ......
典型部署
直路代理模式 将
資料庫防火牆直連在資料庫之前,所有對資料庫的通路流量都流經該裝置進行過濾和轉發。防火牆可以不設IP位址,用戶端看到的資料庫位址不變。
單臂代理模式 将資料庫防火牆接入資料庫所在網絡,用戶端邏輯連接配接防火牆裝置位址,所有對資料庫的通路流量都流經該裝置進行過濾和轉發。
資料庫審計和防火牆:混合部署 将資料庫防火牆接入資料庫所在網絡,用戶端邏輯連接配接防火牆裝置位址,所有對資料庫的通路流量都流經該裝置進行過濾和轉發。同時将日志發給審計系統,與審計系統配合使用,對資料庫進行審計與防護。
客戶價值
保護核心資料資産,防止内外部攻擊造成的資料洩密
• 防止外部黑客攻擊,竊取資料:SQL注入、緩沖區溢出、權限盜用等
• 防止内部人員洩密,違規備份、權限濫用、誤操作等
• 防止運維人員和第三方人員違規通路敏感資料
安全性與可用性的完美結合,對合法應用和使用者透明
• 智能學習,自動生成安全基線,無需手動複雜配置規則
• 高穩定性與高性能,支援雙機熱備,保障正常業務的連續性
• 不需要對應用程式作任何修改,不改變應用程式的使用環境
• 對于授權使用者的資料庫操作與管理等過程無需改變