有了防火墙、IPS、WAF 还需要数据库审计?

简介: 本文讲的是有了防火墙、IPS、WAF 还需要数据库审计?,“我们的网络安全系统中已经有了Web应用防火墙、网络防火墙和IPS,难道还需要数据库审计吗?”很多人有这样的疑问,网络中有层层防护,还不能保护数据库的安全吗?是的,因为不同的安全防护系统针对的关键风险不同。

本文讲的是 有了防火墙、IPS、WAF 还需要数据库审计?,“我们的网络安全系统中已经有了Web应用防火墙、网络防火墙和IPS,难道还需要数据库审计吗?”很多人有这样的疑问,网络中有层层防护,还不能保护数据库的安全吗?是的,因为不同的安全防护系统针对的关键风险不同。

防火墙

image

网络防火墙(Firewall)是基于预定安全规则来监视和控制传入和传出网络流量的网络安全系统,正如小区中的岗亭,人员、车辆进出都需要经过岗亭的检查,计算机流入流出的所有网络通信均要经过网络防火墙。网络防火墙对流经它的网络通信信息进行扫描,避免一些攻击行为在目标计算机上被执行。

网络防火墙作为访问控制设备,主要工作在OSI模型三层,基于IP报文进行检测,通常根据IP、端口信息及协议类型做过滤。其产品设计无需理解HTTP会话,也就决定了无法理解Web应用程序语言如HTML、SQL语言。

因此,它不可能对HTTP通讯进行输入验证或攻击规则分析。针对Web网站的恶意攻击绝大部分都将封装为HTTP请求,从80或443端口顺利通过防火墙检测。

网络防火墙是基于边界防护,同时因为Web服务的开放性,网络防火墙对基于Web以及内部的攻击缺乏免疫。

入侵防御系统

入侵防御系统(以下简称“IPS”)也是为防止网络攻击而设计的。一般来说,IPS系统检测攻击的方法是依靠对数据包的检测。

IPS将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。这就像存放贵重物品的场所,如博物馆中,安装的红外感应防御装置,在红外线识别到有人入侵时能够及时做出防御。

IPS采用的是特征匹配技术、使用“允许除非明确否认”模式,其防护对象是一段网络、以及网络中通用的设备或系统而不是特定的Web应用。

IPS更多是针对攻击行为的识别与防御,而数据库数据泄露的风险常常是来自于内部人员,如合法权限的滥用或高级权限的违规使用。IPS无法对这类风险进行识别,也就无法对数据库的安全进行全面的防护。

Web应用防火墙

从对Firewall的介绍可以看出来,传统的防火墙对于应用层的攻击是无法进行有效抵抗的;而IPS对防止应用层攻击能起到一部分作用,却无法从根本上防护应用层的攻击。因此出现了保护Web应用安全的Web应用防火墙系统(以下简称“WAF”)。

WAF是一种基础的安全保护模块,通过特征提取和分块检索技术进行特征匹配,主要针对 HTTP 访问的 Web 程序保护。WAF部署在Web应用程序前面,在用户请求到达 Web 服务器前对用户请求进行扫描和过滤,分析并校验每个用户请求的网络包,确保每个用户请求有效且安全,对无效或有攻击行为的请求进行阻断或隔离。

WAF现在已经成为许多商业 Web 网站与系统的基本保护措施,它的确在防范许多针对Web系统的安全攻击方面卓有成效;但WAF只监控通过HTTP方式来的数据,而数据库的访问源头却多种多样,如以下几种数据库访问方式:

1、组织内其他应用系统能访问数据库:比如在电子商务系统里,价格和库存可能会用一些自动化的脚本来定时更新。

2、一些内部管理程序可以访问系统,也可能是一些接口,方便雇员添加信息或者发送信息给客户。

3、还有就是数据库 DBA,IT 经理,QA,开发人员等等内部人员通过数据库管理工具可以访问数据库。

这些潜在的数据库访问源头WAF是毫不知情的,但是来自内部的攻击则更可怕。

从网络防火墙到入侵防御系统再到Web应用防火墙,当我们给网络穿上一层又一层的防护衣时,不得不正视,网络攻击越来越深入。当数据的价值越来越高,数据库成为“攻击”目标时,网络防火墙、IPS、WAF的防护变得有些捉襟见肘。

数据库审计系统可对数据的访问操作行为做一个完整的记录,以备违反安全规则的事件发生后,能有效的追查责任和分析原因,必要时还可以为惩罚恶意攻击行为提供必要的证据。
image

另一方面,实施审计准则之后,审计线索会指出特定人员没有违反规程,也没有破坏性行为,对合法用户是一种良好的保护。

从信息安全的角度上看,审计是安全的数据库系统不可缺少的一部分,也是数据库的最后一道重要的安全防线。

数据库暴露的访问点多种多样,网络安全工作是一场旅程,起始于关键风险和重要资产的识别,再在技术、流程和人员管理之间找到正确的组合。

因此,面对不同的网络安全风险,需要不同的技术手段加以防护,在数据价值日益增加的现在,数据库审计系统的作用逐渐突显。

原文发布时间为:七月 17, 2017
本文作者:aqniu
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/tools-tech/26698.html

相关文章
|
27天前
|
安全 算法 Linux
CentOS7下部署长亭科技雷池Web应用防火墙(WAF)开源社区版
CentOS7下部署长亭科技雷池Web应用防火墙(WAF)开源社区版
99 0
|
5月前
|
关系型数据库 Linux 网络安全
Linux系统下安装mariaDB数据库及防火墙
Linux系统下安装mariaDB数据库及防火墙
83 0
|
6月前
|
云安全 域名解析 SQL
在腾讯云部署雷池 Web 应用防火墙(WAF)安装及使用
安装雷池 Web 应用防火墙(WAF)是保护你的网站免受各种网络攻击的重要步骤,部署是基于docker的,就像腾讯云轻量应用服务器一样开箱即用,不像其他的防火墙一样还要自己配置。
891 1
在腾讯云部署雷池 Web 应用防火墙(WAF)安装及使用
|
10月前
|
弹性计算 编解码 负载均衡
阿里云Web应用防火墙(WAF)降价20-30%
阿里云Web应用防火墙(WAF)降价20-30%,阿里云产品大规模调价,核心云产品价格全线下调,技术红利释放核心产品最高降幅50%,以下产品的价格调整将于2023年5月7日生效,最终以产品详情页实际情况为准,阿里云百科分享阿里云官网发布的降价产品及降价幅度说明:
277 0
|
SQL 安全 网络协议
WAF与网络防火墙的区别在哪?
WAF与网络防火墙的区别在哪?
|
安全 前端开发 网络安全
网站安全公司waf防火墙基本介绍
这篇文章内容关键详细介绍WAF的一些基本概念。WAF是专业为维护根据Web程序运行而设计的,我们科学研究WAF绕开的目地一是协助安服工作人员掌握渗透检测中的检测方法,二是可以对安全机器设备生产商出示一些安全提议,立即修补WAF存有的安全难题,以提高WAF的完备性和抗攻击能力。三是期待网站开发人员搞清楚并并不是部署了WAF就可以无忧无虑了,要搞清楚系统漏洞造成的直接原因,最好是能在代码方面上就将其修补。
452 0
网站安全公司waf防火墙基本介绍
|
网络安全
云速搭部署 Web 应用防火墙 WAF
本实践通过云速搭实现最简单架构,部署一个 WAF 服务。
云速搭部署 Web 应用防火墙 WAF
|
SQL 监控 安全
数据库必知词汇:数据库防火墙
数据库防火墙(DBFirewall)系统,串联部署在数据库服务器之前,解决数据库应用侧和运维侧两方面的问题,是一款基于数据库协议分析与控制技术的数据库安全防护系统。基于主动防御机制,实现数据库的访问行为控制、危险操作阻断、可疑行为审计。数据库漏洞攻击可以通过数据库防火墙的虚拟补丁功能进行防护。
491 0

热门文章

最新文章