世界上9%数据以结构化数据的形式保存在数据库中,以数据库为基础的信息系统在经济、金融、医疗等领域的信息基础设施建设中得到了广泛的应用。数据库是非常重要的资产,数据库防火墙是数据库安全技术之一,潮数数据库防火墙能够大大提升数据库的安全。

1.产品介绍

数据库防火墙通过实时分析网络中的数据库访问活动,对访问数据库操作进行细粒度的规则匹配,对数据库遭受到的风险行为进行访问控制,特别对SQL攻击和违反企业规范的数据库访问行为进行及时阻断。

2.主要功能

  • 攻击检测和保护:实时检测用户对数据库进行SQL注入和缓冲区溢出的攻击,并报警或者阻止攻击行为,同时详细记录攻击操作发生的时间、来源IP、用户名、攻击代码等信息。
  • 虚拟补丁:通过内置的多种漏洞特征库防止已知漏洞被利用,并有效降低数据库被0day(还没有补丁的漏洞)攻击的风险。
  • 屏蔽直接访问数据库的通道:数据库防火墙部署于数据库服务器和应用服务器之间,屏蔽直接访问数据库的通道,防止数据库隐通道对数据库的攻击。
  • 连接监控:实时监控数据库的连接信息、风险状态等。
  • 多因子认证:基于IP地址、MAC地址、用户、应用程序、时间等因子对访问者进行身份认证,弥补单一口令认证方式安全性的不足。应用程序对数据库的访问,必须经过数据库防火墙和数据库两层身份认证。
  • 行为基线:系统将自动学习每一个应用的访问语句,进行模式提取和分类,自动生成行为特征模型。系统通过检查访问行为与基线的偏差来识别风险。
  • 安全审计:系统能够记录对数据库服务器的访问情况,包括用户名、程序名、IP地址、请求的数据库、连接/断开的时间、风险等信息,并提供灵活的查询分析功能。

3.应用场景

  • 数据库没有进行漏洞升级或者补丁更新不及时;
  • 对拥有数据库直接访问权的内部工作人员无法管控;
  • 非授权人员通过应用系统非法登录数据库难以阻断。
  1. 产品部署方式及拓扑图

(一)部署方式1

透明网桥模式:将数据库防火墙直连在数据库之前,所有对数据库的访问流量都流经该设备进行过滤和转发,防火墙不设IP地址,客户端看到的数据库地址不变。

 

(二)部署方式2

单臂代理模式:将数据库防火墙接入数据库所在网络,客户端逻辑连接防火墙设备地址,所有对数据库的访问流量都流经该设备进行过滤和转发。

 

 

(三)某客户部门拓扑图,如下图所示:

  1. 产品优势
  • 高性能

连续处理能力:高达8万以上SQL/s;                                      

日志检索速度:  <1分钟,1亿记录,带通配符的模糊检索;

日志存储能力:  高达100亿SQL/TB;

每秒新建连接数: 3.5万CPS以上;

同时连接并发用户: 20万以上。

  • 高可用性

基于硬件的Bypass功能,防止单点失败;

支持双机热备功能,保证连续服务能力;

支持自动日志备份;

支持SNMP、Syslog日志外发;

支持时间同步。

  • 高安全性

语句级的访问控制;

支持黑名单、白名单规则;

可以灵活地对每个应用程序的访问权限进行配置;

三权分立(管理员、安全员、审计员)。

  • 智能化学习

自动学习防护规则;

免于手工配置。