数据库防火墙-qax

[键入文档标题][选取日期]数据库防火墙产品白皮书1.产品概述1.1现状分析随着计算机技术的飞速发展，越来越多的企业向信息化、智能化转型。相应的数据库在企业内的应用也十分广泛，深入到各个领域。随着企业数据信息重要性的提升，越来越多的不法分子以获取企业核心数据为目的，对数据库进行越权访问或渗透攻击。因此，如何有效地保证数据库系统的安全，实现数据的保密性、完整性和有效性，已经成为企业数据安全防护的重中之重。1.2数据库防火墙的定义不同于传统防火墙主要功能是限制内部网与外部网通信的设备，针对边界防护，对于内部网络访问数据库的行为或者来自外部绕过防火墙访问数据库的行为无法进行阻断、替换、报警、审计等操作，无法有效的保护数据库系统的安全。数据库防火墙是基于数据库通讯协议中的SQL语句和语法特征对数据库和数据进行保护的应用设备。数据库防火墙可以针对对数据库访问的SQL语句进行威胁性匹配，并对有威胁的SQL语句进行阻断行为保障数据库的安全。2.产品功能特点2.1屏蔽直接访问数据库的通道数据库防火墙系统，串联在客户的网络中直接连接到数据库服务器，部署在客户的数据库服务器之前，防止数据库被直接或间接的攻击或越权访问。部署方式如下：数据库服务器与应用系统通过防火墙进行隔离，所有针对数据库的访问都需要通过防火墙，防火墙对数据库起到防护和风险阻断功能。2.2自动学习-建立访问基线模型数据库防火墙系统具有自动学习功能，将自动学习到每一个应用的访问语句特征，并将这些特征提取形成访问基线。自动生成特征模型，并可以对学习的结果进行编辑，使结果更接近客户日常访问。通过检查访问的行为是否偏离基线来识别异常访问。从而减轻了管理人员定义策略的负担，增加了防御攻击的准确性。2.3SQL特征库检测黑客对数据库攻击最常用的手段就是利用数据库漏洞使用SQL注入方式进行提权威胁系统的安全。数据库防火墙系统通过语法描述分析SQL注入攻击不同时期的行为特征，并通过收集各种版本数据库已发布的所有漏洞信息，提取漏洞特征，推演访问威胁语句。构建业内最健全的SQL特征库，确保准确识别攻击手段，精准阻拦攻击行为。2.4多因子识别认证数据库防火墙可以基于IP地址、用户、应用程序、时间等因子对访问者进行身份认证，也可以根据任意认证策略构建黑名单。应用程序对数据库的访问，必须经过数据库防火墙和数据库自身的双重身份认证。2.5虚拟补丁数据库的复杂性决定了它会存在多层次的安全漏洞，从而给入侵者或非授权用户提供了可乘之机。虽然数据库厂商会定期推出修复数据库漏洞的补丁，但是由于给数据库打补丁较为复杂且极有可能影响数据库的稳定性，因此大多数企业为了保证业务连续性会不为数据库频繁的打补丁，甚至完全不打补丁。数据库防火墙系统内置多种数据库漏洞特征库，提供了虚拟补丁的功能，虚拟补丁在无需修补数据库内核漏洞的情况下，可以保护数据库的安全。它在数据库外创建了一个安全层，通过在防火墙上安装虚拟补丁，能够阻止已知的漏洞攻击，有效规避数据库被攻击的风险。2.6黑白名单审计数据库安全系统产品可根据客户意见及实际审计情况，将IP、操作语句、账号登相关信息加入黑白名单。同时，在应用系统中，因应用系统对应后台的SQL语句固定，一旦发现其中含有危险信息则可将对应的SQL加入黑名单，而一旦应用系统中有某些语句疑似风险操作但其实际并不产生危害则可加入白名单。2.7丰富完善的报表报告数据库防火墙系统内置大量报表报告，包括等级保护报表、数据库报表等。系统生成的报表图文并茂。报告可用PDF、DOC、XLS等格式存档。3.产品价值3.1保护核心数据，防止内部越权访问 通过对已知数据泄露事件分析，有65%以上的事件是由内部人员操作产生的。因此对内部人员访问的安全防护十分重要。数据库防火墙系统可以防止内部人员误操作、越权访问、违规备份等行为，阻止内部人员泄密。3.2保护核心数据，阻止外部攻击 数据库防火墙系统针对外部的数据库访问请求进行细致的分析，对风险语句进行有效的阻断。防止外部黑客的攻击，防止SQL注入语句、缓冲区溢出以及权限盗用等手段，保障数据安全。3.3简化运维、完善访问控制 数据库防火墙系统具有自动学习功能，能够自动生成企业数据库访问安全基线，无需手动配置复杂的规则。通过对访问基线的匹配进行阻断策略的配置，较少误封漏封情况，简化运维，完善访问控制。3.4定制合规表格针对不同企业的需求，提供符合性报表集，按照各种法规/最佳做法等框架（包括SOX、等级保护、分级保护等）进行的审计、安全和符合性检查工作。这些报表不仅关注具体法规标准，而且还关注与业务应用相关的指标。除了预定义的报表外，本系统具有强大的报表定制能力，在创建定制报表和模板方面提供了全面的灵活性。4.产品优势4.1优秀的兼容匹配度 支持目前绝大多数数据库及国产数据库：Oracle、SqlServer、Sybase、Mysql、DB2、Cache*、达梦、Informix、Gbase、人大金仓等。 支持Windows、Linux、Unix等操作系统，基于B/S架构，支持绝大多数浏览器。4.2超强的处理性能 数据库防火墙系统，连续SQL处理能力最高可达100000条/S，针对超长SQL语句都可进行解行、存储；日志检索能力＜1MIN，支持通配符号模糊检索；采用多线程技术和缓存技术，支持高并发连接，不限数据库实例数量；广泛的规则支持。支持正则表达式、多关键字、访问控制规则、白名单、攻击检测规则等规则的定制。4.3高可用性架构（1）程序采用B/S模式，通过浏览器进行管理。中文方便配置，界面直观，对数据库风险一目了然（2）支持双机热备、软硬件bypass功能，保障持续安全工作。（3）系统采用开放式设计，便于添加新的数据库支持；（4）提供对日志灵活的查询功能。支持任意关键字查询、通配符查询以及布尔查询。并可以使用多个查询条件，包括时间、IP、用户名、操作类型、风险等级等；（5）支持jdbc、odbc、oci、ado、oledb等主流连接协议；（6）系统透明接入，不影响原有应用系统的结构和正常使用；5组网部署方式5.1透明网桥模式 将数据库防火墙直接连接在数据库之前，所有对数据库的访问流量都经过防火墙设备的过滤和转发，防火墙不配置IP地址，客户端看到的数据库IP不变。5.2代理串联模