数据库防火墙技术是针对关系型数据库保护需求应运而生的一种数据库安全主动防御技术，数据库防火墙部署于应用服务器和数据库之间。 用户必须通过该系统才能对数据库进行访问或管理。数据库防火墙所采用的主动防御技术能够主动实时监控、识别、告警、阻挡绕过企业网络边界（FireWall、IDS\IPS等）防护的外部数据攻击、来自于内部的高权限用户（DBA、开发人员、第三方外包服务提供商）的数据窃取、破坏、损坏的等，从数据库SQL语句精细化控制的技术层面，提供一种主动安全防御措施，并且，结合独立于数据库的安全访问控制规则，帮助用户应对来自内部和外部的数据安全威胁。

防止外部黑客攻击威胁：黑客利用Web应用漏洞，进行SQL注入；或以Web应用服务器为跳板，利用数据库自身漏洞攻击和侵入。
防护：通过 虚拟补丁技术捕获和阻断漏洞攻击行为，通过SQL注入特征库捕获和阻断SQL注入行为。
防止内部高危操作
威胁：系统维护人员、外包人员、开发人员等，拥有直接访问数据库的权限，有意无意的高危操作对数据造成破坏。
防护：通过限定更新和删除影响行、限定无Where的更新和删除操作、限定drop、truncate等高危操作避免大规模损失。
防止敏感数据泄漏
威胁：黑客、开发人员可以通过应用批量下载敏感数据，内部维护人员远程或本地批量导出敏感数据。
防护：限定数据查询和下载数量、限定敏感数据访问的用户、地点和时间。
审计追踪非法行为
威胁：业务人员在利益诱惑下，通过业务系统提供的功能完成对敏感信息的访问，进行信息的售卖和数据篡改。
防护：提供对所有数据访问行为的记录，对风险行为进行SysLog、邮件、短信等方式的告警，提供事后追踪分析工具。

 

更多的信息可以看下Oracle 的DBfirewall：http://www.oracle.com/technetwork/cn/community/developer-day/3-firewall-technology-exchange-1879657-zhs.pdf

本文转自张昺华-sky博客园博客，原文链接：http://www.cnblogs.com/bonelee/p/6638963.html ，如需转载请自行联系原作者