數據庫防火牆——實現數據庫的訪問行為控制、危險操作阻斷、可疑行為審計

轉自百度百科

  數據庫防火牆 系統，串聯部署在數據庫服務器之前，解決數據庫應用側和運維側兩方面的問題，是一款基於 數據庫 協議分析與控制技術的數據庫安全防護系統。DBFirewall基於主動防御機制，實現數據庫的訪問行為控制、危險操作阻斷、可疑行為審計。

數據庫安全技術之一， 數據庫安全技術主要包括：數據庫漏掃、 數據庫加密、 數據庫防火牆、 數據脫敏、 數據庫安全審計系統。

數據庫安全風險包括： 刷庫、 拖庫、 撞庫。

數據庫安全攻擊手段包括： SQL注入攻擊。

簡介

數據庫防火牆技術是針對關系型數據庫保護需求應運而生的一種數據庫安全主動防御技術，數據庫防火牆部署於應用服務器和數據庫之間。 用戶必須通過該系統才能對數據庫進行訪問或管理。數據庫防火牆所采用的主動防御技術能夠主動實時監控、識別、告警、阻擋繞過企業網絡邊界（FireWall、IDS\IPS等）防護的外部數據攻擊、來自於內部的高權限用戶（DBA、開發人員、第三方外包服務提供商）的數據竊取、破壞、損壞的等，從數據庫SQL語句精細化控制的技術層面，提供一種主動安全防御措施，並且，結合獨立於數據庫的安全訪問控制規則，幫助用戶應對來自內部和外部的數據安全威脅。

核心功能

• 屏蔽直接訪問數據庫的通道：數據庫防火牆部署介於數據庫服務器和應用服務器之間，屏蔽直接訪問的通道，防止數據庫隱通道對數據庫的攻擊。
• 二次認證：基於獨創的“連接六元組【機器指紋（不可偽造）、IP地址、MAC地址、用戶、應用程序、時間段】”授權單位，應用程序對數據庫的訪問，必須經過數據庫防火牆和數據庫自身兩層身份認證。
• 攻擊保護：實時檢測用戶對數據庫進行的SQL注入和緩沖區溢出攻擊。並報警或者阻止攻擊行為，同時詳細的審計下攻擊操作發生的時間、來源IP、登錄數據庫的用戶名、攻擊代碼等詳細信息。
• 連接監控：實時的監控所有到數據庫的連接信息、操作數、違規數等。管理員可以斷開指定的連接。
• 安全審計：系統能夠審計對數據庫服務器的訪問情況。包括用戶名、程序名、IP地址、請求的數據庫、連接建立的時間、連接斷開的時間、通信量大小、執行結果等等信息。並提供靈活的回放日志查詢分析功能，並可以生存報表。
• 審計探針：本系統在作為數據庫防火牆的同時，還可以作為數據庫審計系統的數據獲取引擎，將通信內容發送到審計系統中。
• 細粒度權限控制：按照SQL操作類型包括Select、Insert、Update、Delete,對象擁有者，及基於表、視圖對象、列進行權限控制
• 精准SQL語法分析：高性能SQL語義分析引擎，對數據庫的SQL語句操作，進行實時捕獲、識別、分類
• 自動SQL學習：基於自學習機制的風險管控模型，主動監控數據庫活動，防止未授權的數據庫訪問、SQL注入、權限或角色升級，以及對敏感數據的非法訪問等。
• 透明部署：無須改變網絡結構、應用部署、應用程序內部邏輯、前端用戶習慣等

防護能力

防止外部黑客攻擊威脅：黑客利用Web應用漏洞，進行SQL注入；或以Web應用服務器為跳板，利用數據庫自身漏洞攻擊和侵入。
　　防護：通過 虛擬補丁技術捕獲和阻斷漏洞攻擊行為，通過SQL注入特征庫捕獲和阻斷SQL注入行為。
　　防止內部高危操作
　　威脅：系統維護人員、外包人員、開發人員等，擁有直接訪問數據庫的權限，有意無意的高危操作對數據造成破壞。
　　防護：通過限定更新和刪除影響行、限定無Where的更新和刪除操作、限定drop、truncate等高危操作避免大規模損失。
　　防止敏感數據泄漏
　　威脅：黑客、開發人員可以通過應用批量下載敏感數據，內部維護人員遠程或本地批量導出敏感數據。
　　防護：限定數據查詢和下載數量、限定敏感數據訪問的用戶、地點和時間。
　　審計追蹤非法行為
　　威脅：業務人員在利益誘惑下，通過業務系統提供的功能完成對敏感信息的訪問，進行信息的售賣和數據篡改。
　　防護：提供對所有數據訪問行為的記錄，對風險行為進行SysLog、郵件、短信等方式的告警，提供事后追蹤分析工具。

 

更多的信息可以看下Oracle 的DBfirewall：http://www.oracle.com/technetwork/cn/community/developer-day/3-firewall-technology-exchange-1879657-zhs.pdf