天融信打造数据库安全防护新手段数据库防火墙-国土报中文版

本篇文章2874字，读完约7分钟

对于存储在数据库中的这类数据，信息安全行业一直在尝试各种安全措施。例如，堡垒主机、数据库审计和其他产品，但显然，即使客户实施了这些数据库安全保护方案，大量的攻击和数据库数据泄漏/篡改仍然是常见的。因为堡垒主机解决了它是否可以登录到数据库服务器的问题，即进入数据库前的问题；数据库审计记录了对数据库的所有访问行为，以便以后跟踪，这解决了泄漏后的责任问题。这两种产品在用户登录数据库后，无法发现和停止各种操作、修改和数据下载的问题。只有在数据库泄漏和篡改事件发生前后，才能进行登录权限检查和操作内容追溯。这种保护远远不能解决当前数据库面临的安全风险。

天融信打造数据库安全防护新手段数据库防火墙

大量客户，尤其是那些部署了堡垒主机、数据库审计等保护措施的客户，已经开始考虑在用户登录数据库后实时控制操作过程的方法，即是否有这样的产品，首先，它可以在用户登录数据库之前验证用户的身份权限，并将验证信息与用户可以访问的数据库中的表的内容相关联。特定用户只能访问特定的表，满足安全系统中最低权限分配的要求；其次，它可以实时监控登录用户对数据库的访问行为，当发现数据库数据泄露和篡改的违规行为时，立即阻止正在进行的违规行为，从而实时防止针对数据库的违规操作事件的发生，保证数据库中的数据不会有安全隐患；最后，它还可以记录所有用户对数据库的访问行为，以跟踪不重要的安全事件。

天融信打造数据库安全防护新手段数据库防火墙

在大量客户的现实和迫切需求的驱动下，一种专门为实时数据库防御而设计的产品数据库防火墙已经在业界出现。也许每个人都和我一样。现在业界有网络防火墙和网络防火墙。为什么会有数据库防火墙？该设备与传统防火墙的本质区别是什么？请参见下图:

图:通用网络安全保护体系结构

从逻辑部署位置:

1.网络防火墙部署在网络出口；

2.web防火墙(waf)部署在web服务器之前和网络防火墙之后。

3.数据库防火墙(dbfw)部署在数据库服务器之前和web服务器之后。

从他们各自的角色来看:

1、网络防火墙主要从网络层进行安全保护；

2.web防火墙保护应用层的web协议分析，并关注web服务器的各种非法操作行为。

3.数据库防火墙(dbfw)保护应用层对数据库通信协议的分析，控制针对数据库服务器的各种非法行为。

下面是一个简单的例子来说明数据库防火墙(dbfw)的功能特性。假设有一个数据库泄漏事件:一个拥有数据库用户名和密码的黑客想从外部网络进入内部网，导出数据库中的所有数据并向公众公布。

首先，此连接将通过网络防火墙，防火墙根据五元组(源ip、源端口、目的ip、目的端口和协议)进行分析。此连接是访问数据库的正常连接，网络防火墙将释放此连接。然后，在连接到网络防火墙的位置，网络防火墙检测到该连接的目的端口和协议不是用于网络服务器的，并且还将释放该连接；所以这个连接通向数据库的门。如果没有数据库防火墙，由于这个连接携带了正确的数据库用户名和密码，这个连接可以正常访问数据库，读取数据库中的所有数据，而数据泄露是不可避免的，造成了不可想象的后果；当我们在数据库前面放置一个数据库防火墙时，这一切都改变了。当此连接到数据库的门上时，数据库防火墙将检测此用户是否可以访问数据库，数据库中的哪个表，读取数据库中的数据时读取几行，以及是否有权限添加、删除、修改和检查数据等。，从而防止该用户在数据库中做任何他想做的事情，将可能的数据泄漏事件扼杀在萌芽状态，并防止对企业和个人产生不利影响。

天融信打造数据库安全防护新手段数据库防火墙

从上面的例子可以看出，数据库防火墙的工作模式、工作内容和保护内容都不同于数据库审计、传统网络防火墙和网络防火墙。从以上例子中，我们可以基本了解该产品的核心功能和特色。

数据库防火墙(dbfw)是在分析数据库通信协议的基础上发展起来的一种数据库访问控制系统。数据库防火墙有多种工作模式，包括sql注入保护、数据库访问控制、数据库虚拟补丁保护等。在串行模式下，与网络并行连接时的传统数据库审计能力。它所实现的不同功能串联和并联的异同相当于传统网络安全中入侵防御系统(ips)和入侵检测系统(ids)的区别。一般来说，数据库防火墙(dbfw)系统可以通过分析数据库通信协议来实现对数据库的访问控制和sql防火墙功能，并具有数据库审计能力。

天融信打造数据库安全防护新手段数据库防火墙

那么该产品在实施后能给客户带来什么好处呢？请看下图所示的数据库防火墙(dbfw)的保护效果。

图:数据库防火墙的保护效果

1.通过系统的虚拟补丁和sql注入保护能力，可以防止外部黑客的攻击；

2.内部人员，如运行维护人员和第三方开发人员，可以实时阻断和报警，防止内部人员的高风险操作；

3.严格控制内部人员或黑客批量下载和查询敏感数据的行为；

4.分析数据库的运行行为，从不同的观察角度形成不同形式的审计报告，并提供给客户进行分析。

我们可以看到，通过部署数据库防火墙(dbfw)系统，可以从根本上防止针对数据库的各种安全事件。

在这种产品的实现过程中，当客户在购买时考虑数据库的安全性和稳定性，并且一般不希望或不敢直接连接到数据库前面时，这种产品还提供了旁路访问模式。客户可以根据自己的需要在早期部署旁路，然后在产品运行稳定、策略配置完成后，串联进行实时保护。

随着数据库防火墙(dbfw)的引入，在传统的网络安全防护体系中，增加了数据库防护的环节，细化了网络安全设备的防护内容，真正实现了专业化的数据库安全防护体系，从根本上解决了困扰大家多年的数据库安全问题。天荣信公司推出的数据库防火墙产品，与天荣信公司现有的数据库审计和数据库加密产品共同构成了天荣信的数据库安全保护系统，为社会组织和企业用户的数据库数据提供了更完善的保护方案，为用户数据库中的数据保驾护航。

天融信打造数据库安全防护新手段数据库防火墙