数据库防火墙

数据库防火墙顾名思义是一款数据（库）安全设备，从防火墙这个词能够看出，其主要做用是作来自于外部的危险隔离。换句话说，数据库防火墙应该在入侵在到达数据库以前将其阻断，至少须要在入侵过程当中将其阻断。

1. 如何定义外部？

至于如何定义外部威胁，则须要对于数据库边界进行明确的界定，而这个数据库边界的界定则具备多变性。第一种定义，从极限的角度来看，因为如今网络边界的模糊，能够把全部来自于数据库以外的访问都定义为外部。若是是这个定义来看，防火墙承载的任务很是繁重，可能不是一个安全设备所可以承担的。第二种定义是数据中心和运维网络能够被定义为内部访问，其余访问定义为外部访问，让防火墙不须要去承载内部运维安全和员工安全，从而更好的工做。

综合看来，咱们采用第二种定义，数据库防火墙主要承载数据中心和运维网络以外的数据（库）安全工做。

2. 如何定义数据库防火墙？

一旦准确的定义了什么是外部以后，什么是数据库防火墙就比较清楚了。运维网络以外的访问咱们均可以定义为业务访问。

数据库防火墙是一款抵御并消除因为应用程序业务逻辑漏洞或者缺陷所致使的数据（库）安全问题的安全设备或者产品。数据库防火墙通常状况下部署在应用程序服务器和数据库服务器之间，采用数据库协议解析的方式完成。但这并非惟一的实现方式，你能够部署在数据库外部，能够不采用协议解析。从这个定义能够看出，数据库防火墙其本质目标是给业务应用程序打补丁，避免因为应用程序业务逻辑漏洞或者缺陷影响数据（库）安全。

通过多年的技术积累和沉淀后在数据库审计基础之上推出的又一款数据库安全防御产品。数据库防火墙不只实现了各种操做行为的审计，且增长了主动防护机制，实现对数据库访问行为的控制，对危险行为进行阻断。

主要特性

一、精准拦截

可基于IP地址、时间、操做、关键字、数据库帐号、语句长度、列名、表名、行数、注入特征库等多种条件进行阻断，实现精确地访问控制。

二、应用协议智能识别控制

可自动识别DBA协议、运维协议、黑客访问、应用软件，针对数据库全部接口访问的全面监视，并实现有效的访问控制。

三、防APT攻击

根据访问行为的组合、统计模型迅速验证并阻断复杂持续的违规操做及恶意攻击行为。

四、内置AI

内置智能学习模块，机器智能学习，自动建模，自动生成阻断规则库主动防护未知安全威胁。

五、多种工做模式

支持全局的审计模式与防火墙模式在线切换，无需重启设备。防火墙模式能实时阻断违反规则报文；全局审计模式快速转发报文，完整审计记录留存。

六、职权分离

管理与审计相隔离，实现三权分立，有日志留存、方便互相监督，作到审计清晰，权限清晰。

七、强兼容性

支持MySQL、Oracle、MSSQL等多种数据库威胁拦截。

八、旁路阻断

支持旁路部署阻断模式，避免串联部署存在单点故障及给数据库访问带来时延的隐患，对现有网络结构“零”改变、“零”影响。

优点

准

一、基于多种条件类型规则匹配的细粒度精准识别与拦截。

狠

一、经过组合规则、统计规则实现APT等复杂攻击检测与拦截，攻击IP加入黑名单。

智能

一、经过AI技术，实现对陌生主机、陌生工具、陌生帐号访问以及陌生IP访问数据库等行为的实时阻断；

二、可自动识别对数据库的各类访问，实现对应用、运维工具和黑客攻击等潜在风险的智能识别与拦截。

高可靠

一、基于硬件的Bypass功能，防止单点故障；

二、基于HA的高可用性集群。

高性能

一、日志检索：支持亿级数据秒级检索；

二、处理能力：电信级数据处理能力高并发承载保障；

三、使用高性能硬件平台、内核优化技术，知足高负载环境下的性能要求。

部署方式

支持透明桥接模式和代理接入模式：

一、透明桥接模式下，不需对其设置IP地址，对原有网络配置“零”影响，经过多种bypass模式，确保各类软、硬件故障状况业务仍正常运行。

二、代理接入模式：客户端逻辑链接防火墙设备地址，防火墙设备转发流量到数据库服务器；经过代理接入模式，网络拓扑结构不变。