数据库防火墙是什么?
数据库防火墙系统,串联部署在数据库服务器之前,解决数据库应用侧和运维侧两方面的问题,是一款基于数据库协议分析与控制技术的数据库安全防护系统。DBFirewall基于主动防御机制,实现数据库的访问行为控制、危险操作阻断、可疑行为审计。
数据库安全技术之一,数据库安全技术主要包括:数据库漏扫、数据库加密、数据库防火墙、数据脱敏、数据库安全审计系统。
数据库安全风险包括:刷库、拖库、撞库。
数据库安全攻击手段包括:SQL 注入攻击。
数据库漏洞攻击可以通过数据库防火墙的虚拟补丁功能进行防护。
数据库防火墙技术是针对关系型数据库保护需求应运而生的一种数据库安全主动防御技术,数据库防火墙部署于应用服务器和数据库之间。用户必须通过该系统才能对数据库进行访问或管理。数据库防火墙所采用的主动防御技术能够主动实时监控、识别、告警、阻挡绕过企业网络边界(FireWall、IDS\IPS 等)防护的外部数据攻击、来自于内部的高权限用户(DBA、开发人员、第三方外包服务提供商)的数据窃取、破坏、损坏的等,从数据库 SQL 语句精细化控制的技术层面,提供一种主动安全防御措施,并且,结合独立于数据库的安全访问控制规则,帮助用户应对来自内部和外部的数据安全威胁。数据库防火墙技术使用了《一种基于通信协议和 SQL 语法的数据库自动发现方法的专利技术》。
数据库防火墙是一款基于数据库协议解析与控制技术的数据库安全防护系统,实现了对数据库访问行为的控制,高危操作的拦截,可疑行为的监控,风险威胁的拦截,提供可靠的数据库安全保护服务。数据库防火墙可以提供协议分析、SQL 语句解析、参数化匹配、长语句解析、多语句解析、应用关联等核心技术,并提供丰富的数据库安全策略,如阻断、拦截等控制类策略,记录、告警等审计类操作。数据库防火墙主动地、实时地、全方面地保障数据库安全,使其免受数据库漏洞、高危、恶意操作以及敏感数据泄露的威胁。
数据库防火墙的应具备的功能?
1、学习期行为建模
数据库防火墙可基于学习期完成语句、会话的建模分析,构建数据库安全防护模型。并且具备语法分析能力,可以对 SQL 语句进行抽象描述,将海量的 SQL 语句归类成 SQL 模板。基于 SQL 模板关联会话信息,可预定义数据库黑白名单和风险规则。
2、数据库入侵行为防护
2.1 外部系统利用数据库漏洞进行数据库攻击时,数据库防火墙可以实时捕获到对应的 SQL 语句及相关会话信息,及时阻断风险会话并发送告警,帮助用户实时防护数据库漏洞攻击并有效追溯风险来源。
2.2 针对 SQL 注入和 XSS 攻击行为数据库防火墙基于精准的 SQL 语法分析,可以准确定位 SQL 语句中的操作谓词及常量表达式,保障注入、攻击行为防护的准确性。
3、数据库违规行为防护
数据库防火墙提供丰富的规则类型,可以针对不同的数据库访问来源,提供对敏感表的访问权限、操作权限和影响行数的实时有效管控,并结合对 NO WHERE 语句风险的判断,避免大规模数据泄露和篡改。
4、数据库异常行为监控
数据库防火墙可对数据库通讯协议进行完全解析,将 SQL 语句归类成模板,并结合会话信息、应用关联信息,实现学习期行为建模,并以学习期建立的模型为“蓝本”,对数据库访问行为进行周期性对比,以此绘制行为趋势图,快速定位“波动点”识别可能存在的异常行为并预定义风险规则,帮助用户准确定位异常行为。
5、阻断与拦截功能
数据库防火墙支持会话阻断,可准确定位风险来源并阻断会话请求。在会话阻断的基础上,提供“语句拦截”的处理机制,仅针对会话里产生风险的 SQL 语句进行拦截,保持会话内其他合规语句的正常操作。
6、行为审计功能
数据库防火墙从风险、语句和会话的角度提供风险行为的审计功能,用户可以在此基础上进行关联查询,深入挖掘风险来源和风险行为模型,实现数据库风险行为分析和问题追溯。
7、提供多样化的风险分析报表
数据库防火墙可实现将报表划分为“风险综合分析报告”、“风险防护报告”、“数据库风险分析”、“客户端风险分析”等,帮助安全管理人员更加便捷、深入的剖析数据库运行风险。
数据库防火墙技术
1、SQL 特征抽象
SQL 语句解析是识别 SQL 语句攻击行为的关键。SQL 语法特征技术是在不改变原 SQL 语句的语义的情况下,重写 SQL 语句,有效地捕获 SQL 语句的特征,快速对 SQL 语句进行策略判定,以实现高效处理。
2、应用关联防护
数据库防火墙采用应用端插件部署方式,基于应用会话捕获“应用账户”及“应用登录 IP”等关联审计信息,并添加到风险规则进行风险行为管控。针对应用端与业务服务器分离的“四层关联系统”,可以有效追溯到应用系统的原始访问者和请求信息,实现精准的业务匹配。
3、虚拟漏洞补丁
虚拟补丁是数据库防火墙的核心技术之一,通过该技术用户可以针对数据库漏洞攻击行为进行实时的管控,从而保证数据库安全与应用稳定的平衡。虚拟补丁技术是系统通过协议解析技术,捕捉外部系统利用数据库漏洞进行的网络攻击行为并对其进行管控,从而防止通过已知漏洞对数据库的攻击。本系统通过网络解析技术捕获以下访问特征:用户名、对象、操作、应用模块、语句内容,通过内部的漏洞库进行访问行为匹配。
