數據庫防火牆

數據庫防火牆顧名思義是一款數據（庫）安全設備，從防火牆這個詞能夠看出，其主要做用是作來自於外部的危險隔離。換句話說，數據庫防火牆應該在入侵在到達數據庫以前將其阻斷，至少須要在入侵過程當中將其阻斷。

1. 如何定義外部？

至於如何定義外部威脅，則須要對於數據庫邊界進行明確的界定，而這個數據庫邊界的界定則具備多變性。第一種定義，從極限的角度來看，因爲如今網絡邊界的模糊，能夠把全部來自於數據庫以外的訪問都定義爲外部。若是是這個定義來看，防火牆承載的任務很是繁重，可能不是一個安全設備所可以承擔的。第二種定義是數據中心和運維網絡能夠被定義爲內部訪問，其餘訪問定義爲外部訪問，讓防火牆不須要去承載內部運維安全和員工安全，從而更好的工做。

綜合看來，咱們採用第二種定義，數據庫防火牆主要承載數據中心和運維網絡以外的數據（庫）安全工做。

2. 如何定義數據庫防火牆？

一旦準確的定義了什麼是外部以後，什麼是數據庫防火牆就比較清楚了。運維網絡以外的訪問咱們均可以定義爲業務訪問。

數據庫防火牆是一款抵禦並消除因爲應用程序業務邏輯漏洞或者缺陷所致使的數據（庫）安全問題的安全設備或者產品。數據庫防火牆通常狀況下部署在應用程序服務器和數據庫服務器之間，採用數據庫協議解析的方式完成。但這並非惟一的實現方式，你能夠部署在數據庫外部，能夠不採用協議解析。從這個定義能夠看出，數據庫防火牆其本質目標是給業務應用程序打補丁，避免因爲應用程序業務邏輯漏洞或者缺陷影響數據（庫）安全。

通過多年的技術積累和沉澱後在數據庫審計基礎之上推出的又一款數據庫安全防禦產品。數據庫防火牆不只實現了各種操做行爲的審計，且增長了主動防護機制，實現對數據庫訪問行爲的控制，對危險行爲進行阻斷。

主要特性

一、精準攔截

可基於IP地址、時間、操做、關鍵字、數據庫帳號、語句長度、列名、表名、行數、注入特徵庫等多種條件進行阻斷，實現精確地訪問控制。

二、應用協議智能識別控制

可自動識別DBA協議、運維協議、黑客訪問、應用軟件，針對數據庫全部接口訪問的全面監視，並實現有效的訪問控制。

三、防APT攻擊

根據訪問行爲的組合、統計模型迅速驗證並阻斷複雜持續的違規操做及惡意攻擊行爲。

四、內置AI

內置智能學習模塊，機器智能學習，自動建模，自動生成阻斷規則庫主動防護未知安全威脅。

五、多種工做模式

支持全局的審計模式與防火牆模式在線切換，無需重啓設備。防火牆模式能實時阻斷違反規則報文；全局審計模式快速轉發報文，完整審計記錄留存。

六、職權分離

管理與審計相隔離，實現三權分立，有日誌留存、方便互相監督，作到審計清晰，權限清晰。

七、強兼容性

支持MySQL、Oracle、MSSQL等多種數據庫威脅攔截。

八、旁路阻斷

支持旁路部署阻斷模式，避免串聯部署存在單點故障及給數據庫訪問帶來時延的隱患，對現有網絡結構「零」改變、「零」影響。

優點

準

一、基於多種條件類型規則匹配的細粒度精準識別與攔截。

狠

一、經過組合規則、統計規則實現APT等複雜攻擊檢測與攔截，攻擊IP加入黑名單。

智能

一、經過AI技術，實現對陌生主機、陌生工具、陌生帳號訪問以及陌生IP訪問數據庫等行爲的實時阻斷；

二、可自動識別對數據庫的各類訪問，實現對應用、運維工具和黑客攻擊等潛在風險的智能識別與攔截。

高可靠

一、基於硬件的Bypass功能，防止單點故障；

二、基於HA的高可用性集羣。

高性能

一、日誌檢索：支持億級數據秒級檢索；

二、處理能力：電信級數據處理能力高併發承載保障；

三、使用高性能硬件平臺、內核優化技術，知足高負載環境下的性能要求。

部署方式

支持透明橋接模式和代理接入模式：

一、透明橋接模式下，不需對其設置IP地址，對原有網絡配置「零」影響，經過多種bypass模式，確保各類軟、硬件故障狀況業務仍正常運行。

二、代理接入模式：客戶端邏輯鏈接防火牆設備地址，防火牆設備轉發流量到數據庫服務器；經過代理接入模式，網絡拓撲結構不變。