数据库安全关键技术之数据库防火墙技术

数据库防火墙 是继传统网络防火墙、下一代防火墙等安全产品之后，专门针对数据存储的核心介质——数据库的一款数据安全防护产品。目前，国内主流 数据库防火墙 的关键技术原理如下：

（1）对数据库通讯协议的解析

数据库防火墙 产品对数据库风险行为和违规操作进行安全防护的基础，都来自于数据库通讯协议的解析。通讯协议解析的越精准，数据库的防护工作越周密安全。换言之，数据库通讯协议解析的强弱是评价一款 数据库防火墙 产品优劣的关键。

（2）黑白名单机制  

数据库防火墙 进行数据库防护的过程中，除了利用数据通讯协议解析的信息设置相应的风险拦截和违规 SQL 操作预定义策略以外，常用的防护方式还包括通过学习模式以及SQL语法分析构建动态模型，形成SQL白名单和SQL黑名单。

行为模型

结合黑白名单，通过禁止规则、许可规则以及禁止+许可的混合模式规则对数据库进行策略设置，从而对数据库进行防护。

策略规则图

“禁止规则”负责定义系统需要阻止的危险数据库访问行为，所有被“禁止规则”命中的行为将被阻断，其余的行为将被放行。

“许可规则”负责定义应用系统的访问行为和维护工作的访问行为，通过“许可规则”使这些行为在被“禁止规则”命中前被放行。

“优先禁止规则”负责定义高危的数据库访问行为，这些策略要先于“许可规则”被判断，命中则阻断。

（3）数据库漏洞防护 

在数据库的防护过程中，除了对数据库登录限定，恶意SQL操作拦截，以及批量数据下载、删改进行安全防护以外。数据库自身存在的一些漏洞缺陷所引发的安全隐患，也在 数据库防火墙 的防护范围之内。对于这些风险行为进行周密而严谨的防护也是 数据库防火墙 价值体现的重点项。之前在CVE上公开了2000多个 数据库安全 漏洞，这些漏洞给入侵者敞开了大门。虽然数据库厂商会定期推出数据库漏洞补丁，在一定程度上降低数据库遭受恶意攻击的风险度。但是数据库补丁也存在许多适用性问题，主要包括以下4点：

漏洞补丁针对性高，修补范围存在局限性；

发布补丁包的周期过长，存在数据泄露真空期；

补丁修复过程中存在兼容性隐患；

数据库补丁漏洞修补周期长，风险大，消耗大量资源。

于是，一种可以在无需修补数据库内核的情况下的方法应运而生，即虚拟补丁。它相当于在数据库外围创建了一个安全层，从而不用打数据库厂商的补丁，也不需要停止服务或进行大范围的回归测试。通过监控所有数据库活动，将监控数据与保护规则相比较，从而发现攻击企图，并在数据库的前端进行控制或告警。 数据库防火墙 作为数据库保护的专项安全产品，已经在国内外的用户端得到了大量应用。

由于 数据库防火墙 产品需要串联至业务系统与数据库之间，这需要产品本身具有极高的成熟度，如何判断一款产品是否成熟？看它支持了多少高端现场，服务了多少用户，经历了多少次的大小版本更新。国内专业的 数据库安全 厂商安华金和，研发的国内首款 数据库防火墙 产品，已成功应用于多个大型项目中，以串联部署的方式，保证业务系统在安全状态下正常、高效的运行，为用户提供了安全、无感的体验效果。