資料庫防火牆(DBFirewall)系統,串聯部署在資料庫伺服器之前,解決資料庫應用側和運維側兩方面的問題,是一款基于資料庫協定分析與控制技術的資料庫安全防護系統。基于主動防禦機制,實作資料庫的通路行為控制、危險操作阻斷、可疑行為審計。資料庫漏洞攻擊可以通過資料庫防火牆的虛拟更新檔功能進行防護。
資料洩漏無處不在,且愈演愈烈。據Verizon公司的資料洩漏調查報告統計顯示:有90%以上的資料洩漏是由資料庫被盜引起的。現有邊界防禦安全産品和解決方案均采用被動防禦技術,無法從根本上解決各組織資料庫資料所面臨的安全威脅和風險,解決資料庫資料安全需要專用的資料庫安全裝置從根本上解決資料安全問題。
資料庫防火牆是一款抵禦并消除由于應用程式業務邏輯漏洞或者缺陷所導緻的資料(庫)安全問題的安全裝置或者産品。資料庫防火牆一般情況下部署在應用程式伺服器和資料庫伺服器之間,采用資料庫協定解析的方式完成。
資料庫防火牆技術是針對關系型資料庫保護需求應運而生的一種資料庫安全主動防禦技術,資料庫防火牆部署于應用伺服器和資料庫之間。使用者必須通過該系統才能對資料庫進行通路或管理。資料庫防火牆所采用的主動防禦技術能夠主動實時監控、識别、告警、阻擋繞過企業網絡邊界(FireWall、IDSIPS等)防護的外部資料攻擊、來自于内部的高權限使用者(DBA、開發人員、第三方外包服務提供商)的資料竊取、破壞、損壞的等,從資料庫SQL語句精細化控制的技術層面,提供一種主動安全防禦措施,并且,結合獨立于資料庫的安全通路控制規則,幫助使用者應對來自内部和外部的資料安全威脅。
資料庫防火牆具有以下核心功能:
- 屏蔽直接通路資料庫的通道:資料庫防火牆部署介于資料庫伺服器和應用伺服器之間,屏蔽直接通路的通道,防止資料庫隐通道對資料庫的攻擊。
- 二次認證:基于“連接配接六元組(機器指紋(不可僞造)、IP位址、MAC位址、使用者、應用程式、時間段)”授權機關,應用程式對資料庫的通路,必須經過資料庫防火牆和資料庫自身兩層身份認證。
- 攻擊保護:實時檢測使用者對資料庫進行的SQL注入和緩沖區溢出攻擊。并報警或者阻止攻擊行為,同時詳細的審計下攻擊操作發生的時間、來源IP、登入資料庫的使用者名、攻擊代碼等詳細資訊。
- 連接配接監控:實時的監控所有到資料庫的連接配接資訊、操作數、違規數等。管理者可以斷開指定的連接配接。
- 安全審計:系統能夠審計對資料庫伺服器的通路情況。包括使用者名、程式名、IP位址、請求的資料庫、連接配接建立的時間、連接配接斷開的時間、通信量大小、執行結果等等資訊。并提供靈活的回放日志查詢分析功能,并可以生存報表。
- 審計探針:本系統在作為資料庫防火牆的同時,還可以作為資料庫審計系統的資料擷取引擎,将通信内容發送到審計系統中。
- 細粒度權限控制:按照SQL操作類型包括Select、Insert、Update、Delete,對象擁有者,及基于表、視圖對象、列進行權限控制
- 精準SQL文法分析:高性能SQL語義分析引擎,對資料庫的SQL語句操作,進行實時捕獲、識别、分類
- 自動SQL學習:基于自學習機制的風險管控模型,主動監控資料庫活動,防止未授權的資料庫通路、SQL注入、權限或角色更新,以及對敏感資料的非法通路等。
- 透明部署:無須改變網絡結構、應用部署、應用程式内部邏輯、前端使用者習慣等。
資料來源:
宮彥婷, 榮文英, 王彪. 基于主動防禦的資料庫防火牆設計與實作[J]. 中國數字醫學, 2013(04):96-98.
石蒙蒙. 基于資料庫防火牆的專利技術綜述[J]. 中國新通信(17期):25-25.
淺談資料庫防火牆技術及應用
https://zhuanlan.zhihu.com/p/42097379![【MySQL資料庫】資料庫索引事務1.索引2.事務[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)