数据库防火墙——实现数据库的访问行为控制、危险操作阻断、可疑行为审计

转自百度百科

 数据库防火墙系统，串联部署在数据库服务器之前，解决数据库应用侧和运维侧两方面的问题，是一款基于数据库协议分析与控制技术的数据库安全防护系统。DBFirewall基于主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审计。

数据库安全技术之一，数据库安全技术主要包括：数据库漏扫、数据库加密、数据库防火墙、数据脱敏、数据库安全审计系统。

数据库安全风险包括：刷库、拖库、撞库。

数据库安全攻击手段包括：SQL注入攻击。

简介

数据库防火墙技术是针对关系型数据库保护需求应运而生的一种数据库安全主动防御技术，数据库防火墙部署于应用服务器和数据库之间。用户必须通过该系统才能对数据库进行访问或管理。数据库防火墙所采用的主动防御技术能够主动实时监控、识别、告警、阻挡绕过企业网络边界（FireWall、IDS\IPS等）防护的外部数据攻击、来自于内部的高权限用户（DBA、开发人员、第三方外包服务提供商）的数据窃取、破坏、损坏的等，从数据库SQL语句精细化控制的技术层面，提供一种主动安全防御措施，并且，结合独立于数据库的安全访问控制规则，帮助用户应对来自内部和外部的数据安全威胁。

核心功能

• 屏蔽直接访问数据库的通道：数据库防火墙部署介于数据库服务器和应用服务器之间，屏蔽直接访问的通道，防止数据库隐通道对数据库的攻击。
• 二次认证：基于独创的“连接六元组【机器指纹（不可伪造）、IP地址、MAC地址、用户、应用程序、时间段】”授权单位，应用程序对数据库的访问，必须经过数据库防火墙和数据库自身两层身份认证。
• 攻击保护：实时检测用户对数据库进行的SQL注入和缓冲区溢出攻击。并报警或者阻止攻击行为，同时详细的审计下攻击操作发生的时间、来源IP、登录数据库的用户名、攻击代码等详细信息。
• 连接监控：实时的监控所有到数据库的连接信息、操作数、违规数等。管理员可以断开指定的连接。
• 安全审计：系统能够审计对数据库服务器的访问情况。包括用户名、程序名、IP地址、请求的数据库、连接建立的时间、连接断开的时间、通信量大小、执行结果等等信息。并提供灵活的回放日志查询分析功能，并可以生存报表。
• 审计探针：本系统在作为数据库防火墙的同时，还可以作为数据库审计系统的数据获取引擎，将通信内容发送到审计系统中。
• 细粒度权限控制：按照SQL操作类型包括Select、Insert、Update、Delete,对象拥有者，及基于表、视图对象、列进行权限控制
• 精准SQL语法分析：高性能SQL语义分析引擎，对数据库的SQL语句操作，进行实时捕获、识别、分类
• 自动SQL学习：基于自学习机制的风险管控模型，主动监控数据库活动，防止未授权的数据库访问、SQL注入、权限或角色升级，以及对敏感数据的非法访问等。
• 透明部署：无须改变网络结构、应用部署、应用程序内部逻辑、前端用户习惯等

防护能力

防止外部黑客攻击威胁：黑客利用Web应用漏洞，进行SQL注入；或以Web应用服务器为跳板，利用数据库自身漏洞攻击和侵入。
　　防护：通过虚拟补丁技术捕获和阻断漏洞攻击行为，通过SQL注入特征库捕获和阻断SQL注入行为。
　　防止内部高危操作
　　威胁：系统维护人员、外包人员、开发人员等，拥有直接访问数据库的权限，有意无意的高危操作对数据造成破坏。
　　防护：通过限定更新和删除影响行、限定无Where的更新和删除操作、限定drop、truncate等高危操作避免大规模损失。
　　防止敏感数据泄漏
　　威胁：黑客、开发人员可以通过应用批量下载敏感数据，内部维护人员远程或本地批量导出敏感数据。
　　防护：限定数据查询和下载数量、限定敏感数据访问的用户、地点和时间。
　　审计追踪非法行为
　　威胁：业务人员在利益诱惑下，通过业务系统提供的功能完成对敏感信息的访问，进行信息的售卖和数据篡改。
　　防护：提供对所有数据访问行为的记录，对风险行为进行SysLog、邮件、短信等方式的告警，提供事后追踪分析工具。

 

更多的信息可以看下Oracle 的DBfirewall：http://www.oracle.com/technetwork/cn/community/developer-day/3-firewall-technology-exchange-1879657-zhs.pdf