数据库必知词汇：数据库防火墙

数据库防火墙(DBFirewall)系统，串联部署在数据库服务器之前，解决数据库应用侧和运维侧两方面的问题，是一款基于数据库协议分析与控制技术的数据库安全防护系统。基于主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审计。数据库漏洞攻击可以通过数据库防火墙的虚拟补丁功能进行防护。

数据泄漏无处不在，且愈演愈烈。据Verizon公司的数据泄漏调查报告统计显示：有90%以上的数据泄漏是由数据库被盗引起的。现有边界防御安全产品和解决方案均采用被动防御技术，无法从根本上解决各组织数据库数据所面临的安全威胁和风险，解决数据库数据安全需要专用的数据库安全设备从根本上解决数据安全问题。

数据库防火墙是一款抵御并消除由于应用程序业务逻辑漏洞或者缺陷所导致的数据（库）安全问题的安全设备或者产品。数据库防火墙一般情况下部署在应用程序服务器和数据库服务器之间，采用数据库协议解析的方式完成。

数据库防火墙技术是针对关系型数据库保护需求应运而生的一种数据库安全主动防御技术，数据库防火墙部署于应用服务器和数据库之间。用户必须通过该系统才能对数据库进行访问或管理。数据库防火墙所采用的主动防御技术能够主动实时监控、识别、告警、阻挡绕过企业网络边界（FireWall、IDSIPS等）防护的外部数据攻击、来自于内部的高权限用户（DBA、开发人员、第三方外包服务提供商）的数据窃取、破坏、损坏的等，从数据库SQL语句精细化控制的技术层面，提供一种主动安全防御措施，并且，结合独立于数据库的安全访问控制规则，帮助用户应对来自内部和外部的数据安全威胁。

数据库防火墙具有以下核心功能：

• 屏蔽直接访问数据库的通道：数据库防火墙部署介于数据库服务器和应用服务器之间，屏蔽直接访问的通道，防止数据库隐通道对数据库的攻击。
• 二次认证：基于“连接六元组（机器指纹（不可伪造）、IP地址、MAC地址、用户、应用程序、时间段）”授权单位，应用程序对数据库的访问，必须经过数据库防火墙和数据库自身两层身份认证。
• 攻击保护：实时检测用户对数据库进行的SQL注入和缓冲区溢出攻击。并报警或者阻止攻击行为，同时详细的审计下攻击操作发生的时间、来源IP、登录数据库的用户名、攻击代码等详细信息。
• 连接监控：实时的监控所有到数据库的连接信息、操作数、违规数等。管理员可以断开指定的连接。
• 安全审计：系统能够审计对数据库服务器的访问情况。包括用户名、程序名、IP地址、请求的数据库、连接建立的时间、连接断开的时间、通信量大小、执行结果等等信息。并提供灵活的回放日志查询分析功能，并可以生存报表。
• 审计探针：本系统在作为数据库防火墙的同时，还可以作为数据库审计系统的数据获取引擎，将通信内容发送到审计系统中。
• 细粒度权限控制：按照SQL操作类型包括Select、Insert、Update、Delete,对象拥有者，及基于表、视图对象、列进行权限控制
• 精准SQL语法分析：高性能SQL语义分析引擎，对数据库的SQL语句操作，进行实时捕获、识别、分类
• 自动SQL学习：基于自学习机制的风险管控模型，主动监控数据库活动，防止未授权的数据库访问、SQL注入、权限或角色升级，以及对敏感数据的非法访问等。
• 透明部署：无须改变网络结构、应用部署、应用程序内部逻辑、前端用户习惯等。

资料来源：
宫彦婷, 荣文英, 王彪. 基于主动防御的数据库防火墙设计与实现[J]. 中国数字医学, 2013(04):96-98.
石蒙蒙. 基于数据库防火墙的专利技术综述[J]. 中国新通信(17期):25-25.
浅谈数据库防火墙技术及应用 https://zhuanlan.zhihu.com/p/42097379