数据库防火墙是继传统网络防火墙、下一代防火墙等安全产品之后,专门针对数据存储的核心介质——数据库的一款数据安全防护产品。目前,国内主流数据库防火墙的关键技术原理如下:

(1)对数据库通讯协议的解析

数据库防火墙产品对数据库风险行为和违规操作进行安全防护的基础,都来自于数据库通讯协议的解析。通讯协议解析的越精准,数据库的防护工作越周密安全。换言之,数据库通讯协议解析的强弱是评价一款数据库防火墙产品优劣的关键。

(2)黑白名单机制

数据库防火墙进行数据库防护的过程中,除了利用数据通讯协议解析的信息设置相应的风险拦截和违规SQL操作预定义策略以外,常用的防护方式还包括通过学习模式以及SQL语法分析构建动态模型,形成SQL白名单和SQL黑名单。




window下 mysql 防火墙配置 防火墙数据库_通讯协议


行为模型

结合黑白名单,通过禁止规则、许可规则以及禁止+许可的混合模式规则对数据库进行策略设置,从而对数据库进行防护。


window下 mysql 防火墙配置 防火墙数据库_防火墙工作在哪个层_02


策略规则图

“禁止规则”负责定义系统需要阻止的危险数据库访问行为,所有被“禁止规则”命中的行为将被阻断,其余的行为将被放行。

“许可规则”负责定义应用系统的访问行为和维护工作的访问行为,通过“许可规则”使这些行为在被“禁止规则”命中前被放行。

“优先禁止规则”负责定义高危的数据库访问行为,这些策略要先于“许可规则”被判断,命中则阻断。

(3)数据库漏洞防护

在数据库的防护过程中,除了对数据库登录限定,恶意SQL操作拦截,以及批量数据下载、删改进行安全防护以外。数据库自身存在的一些漏洞缺陷所引发的安全隐患,也在数据库防火墙的防护范围之内。对于这些风险行为进行周密而严谨的防护也是数据库防火墙价值体现的重点项。之前在CVE上公开了2000多个数据库安全漏洞,这些漏洞给入侵者敞开了大门。虽然数据库厂商会定期推出数据库漏洞补丁,在一定程度上降低数据库遭受恶意攻击的风险度。但是数据库补丁也存在许多适用性问题,主要包括以下4点:

漏洞补丁针对性高,修补范围存在局限性;

发布补丁包的周期过长,存在数据泄露真空期;

补丁修复过程中存在兼容性隐患;

数据库补丁漏洞修补周期长,风险大,消耗大量资源。

于是,一种可以在无需修补数据库内核的情况下的方法应运而生,即虚拟补丁。它相当于在数据库外围创建了一个安全层,从而不用打数据库厂商的补丁,也不需要停止服务或进行大范围的回归测试。通过监控所有数据库活动,将监控数据与保护规则相比较,从而发现攻击企图,并在数据库的前端进行控制或告警。数据库防火墙作为数据库保护的专项安全产品,已经在国内外的用户端得到了大量应用。

由于数据库防火墙产品需要串联至业务系统与数据库之间,这需要产品本身具有极高的成熟度,如何判断一款产品是否成熟?看它支持了多少高端现场,服务了多少用户,经历了多少次的大小版本更新。国内专业的数据库安全厂商安华金和,研发的国内首款数据库防火墙产品,已成功应用于多个大型项目中,以串联部署的方式,保证业务系统在安全状态下正常、高效的运行,为用户提供了安全、无感的体验效果。