SQL防火墙使用说明与内核浅析

本文涉及的产品
云防火墙,500元 1000GB
简介: ## 背景简介 SQL注入通常是业务层做的事情,例如使用绑定变量,使用关键字过滤等手段,避免被SQL注入。SQL防火墙便是数据库层面的防火墙功能。该插件可以用来学习一些定义好的SQL规则,并将这些规则储存在数据库中作为白名单。当用户学习完成后,可以限制用户执行这些定义规则之外的风险操作。 ## 使用说明 ### 认识学习模式,预警模式与防火墙模式 ![image.png](https:

背景简介

SQL注入通常是业务层做的事情,例如使用绑定变量,使用关键字过滤等手段,避免被SQL注入。SQL防火墙便是数据库层面的防火墙功能。该插件可以用来学习一些定义好的SQL规则,并将这些规则储存在数据库中作为白名单。当用户学习完成后,可以限制用户执行这些定义规则之外的风险操作。

使用说明

认识学习模式,预警模式与防火墙模式

image.png
SQL防火墙共有三种模式,学习模式、预警模式与防火墙模式。
• 学习模式,防火墙会记录用户的SQL查询,作为用户常用查询的预期白名单,此时防火墙打开不做校验。
• 预警模式,此模式下,防火墙会对用户的SQL进行判断,如果用户的SQL不在白名单中,仍然会执行该SQL,但是会给用户一个报警,告知用户这条SQL不符合白名单记录的业务规则。
• 防火墙模式,此模式下,防火墙会对用户的SQL进行判断。如果用户的SQL不在白名单中,防火墙会拒绝该SQL的执行并告知用户这是一个错误。

SQL防火墙的使用

基于以上认识,防火墙的使用一般分为以下三个步骤。
• 1 打开防火墙的学习模式,这个过程中防火墙会记录用户的SQL,并加入白名单。这个过程建议持续一段较长的时间,使得用户所有的可能SQL尽可能的在数据库中执行过。
• 2 切换防火墙为预警模式,这个过程防火墙会对用户的一些不符合规则的SQL进行告警,用户结合自己的业务判断是否为风险SQL,如果这些SQL确实是用户需要的业务语句,则记录这些SQL,之后统一打开学习模式进行二次学习。
• 3 经过前两步,用户常用SQL已经被记录完毕,打开防火墙模式。此时不符合规则的SQL均不能被执行。

内核设计

简介

• PostgreSQL内置了很多的HOOK,这些HOOK可以方便开发者加入一些功能,例如在SQL parser阶段的HOOK,可以加入一些SQL统计,SQL篡改,SQL REWRITE的功能。在SQL执行阶段的HOOK,可以用来拒绝执行等。共享内存分配阶段的HOOK,可以用来分配用户自定义进程的共享内存等。
• SQL_FIREWALL是PostgreSQL的一个SQL防火墙插件,利用了一些HOOK,实现了SQL防火墙的功能。

image.png
SQL防火墙大致可以分为三个模块,HOOK注入、用户接口与存储模块。
• HOOK 注入 采用pg_stat_statements的HOOK方式,对DDL与DML等SQL语句进行解析正则化。
• 用户接口 提供给用户若干操作函数,包括 统计SQL、导入导出白名单、重置白名单等功能
• 存储模块 提供一个运行时内存hash表与系统停止时文件的对等映射
下面分模块详细介绍

HOOK 注入设计

image.png
SQL_FIREWALL一共改写了7个hook函数,关系如上图所示,其方式几乎等同于pg_stat_statments。
• pgss_shmem_startup与pgss_shmem_shutdown 分别负责在其启动时将文件中的内容加载到共享内存汇总与关闭时将共享内存中的内容存储回文件。
• pgss_ProcessUtility与 pgss_post_parse_analyze 分别负责DDL与DML的解析与记录,被记录到hash表中。
• pgss_ExecutorStart/pgss_ExecutorRun/pgss_ExecutorFinish/pgss_ExecutorStart 记录SQL的统计信息

用户接口设计

image.png
SQL_FIREWALL提供了7个用户行数接口,供用户进行操作。
• sql_firewall_reset() 重置 所有的防火墙规则
• sql_firewall_statements() 展示所有的防火墙规则
• sql_firewall_stat_error_count() 查看强制模式下的错误数量
• sql_firewall_stat_warning_count() 查看宽容模式下的警告数量
• sql_firewall_stat_reset() 重置 错误与警告数量
• sql_firewall_export_rule() 导出 防火墙规则
• sql_firewall_import_rule() 导入 防火墙规则

存储模块设计

image.png
SQL_FIREWALL 的数据和规则交替存储与共享内存与文件系统中。当系统运行时,SQL_FIREWALL读取本地文件到内存中,并生成一个临时文件;而当系统关闭时,SQL_FIREWALL将内存中的信息存储到文件中。

目录
相关文章
|
4月前
|
SQL 监控 关系型数据库
PolarDB产品使用问题之SQL防火墙怎么拦截没有指定WHERE条件的特定表的SQL语
PolarDB产品使用合集涵盖了从创建与管理、数据管理、性能优化与诊断、安全与合规到生态与集成、运维与支持等全方位的功能和服务,旨在帮助企业轻松构建高可用、高性能且易于管理的数据库环境,满足不同业务场景的需求。用户可以通过阿里云控制台、API、SDK等方式便捷地使用这些功能,实现数据库的高效运维与持续优化。
|
6月前
|
SQL 数据可视化 Apache
阿里云数据库内核 Apache Doris 兼容 Presto、Trino、ClickHouse、Hive 等近十种 SQL 方言,助力业务平滑迁移
阿里云数据库 SelectDB 内核 Doris 的 SQL 方言转换工具, Doris SQL Convertor 致力于提供高效、稳定的 SQL 迁移解决方案,满足用户多样化的业务需求。兼容 Presto、Trino、ClickHouse、Hive 等近十种 SQL 方言,助力业务平滑迁移。
阿里云数据库内核 Apache Doris 兼容 Presto、Trino、ClickHouse、Hive 等近十种 SQL 方言,助力业务平滑迁移
|
SQL JSON Java
SQL Server Connectors By Thread Pool | DTSQLServerTP 插件使用说明
SQL Server Connectors By Thread Pool | DTSQLServerTP 插件使用说明
93 0
|
SQL JSON 数据库连接
Blueprints Microsoft SQL Server Connector / UE4 | DTSQLServer插件使用说明
Blueprints Microsoft SQL Server Connector / UE4 | DTSQLServer插件使用说明
101 0
|
SQL JSON 安全
基于JSON的SQL注入攻击触发需要更新Web应用程序防火墙
基于JSON的SQL注入攻击触发需要更新Web应用程序防火墙
|
SQL 存储 关系型数据库
MySQL企业版之Firewall(SQL防火墙)
MySQL企业版之Firewall(SQL防火墙)
MySQL企业版之Firewall(SQL防火墙)
|
SQL 存储 关系型数据库
MySQL企业版之Firewall(SQL防火墙)
MySQL企业版之Firewall(SQL防火墙)
131 0
MySQL企业版之Firewall(SQL防火墙)
|
SQL 存储 关系型数据库
MySQL企业版之Firewall(SQL防火墙)
MySQL企业版之Firewall(SQL防火墙)
222 0
MySQL企业版之Firewall(SQL防火墙)
|
SQL 存储 关系型数据库
MySQL企业版之Firewall(SQL防火墙)
MySQL企业版之Firewall(SQL防火墙)
MySQL企业版之Firewall(SQL防火墙)
|
SQL Oracle 关系型数据库
Oracle SQL Plus使用说明
本文目录 1. 简介 2. SQL Plus的登录和退出 3. SQL Plus查询命令
294 0
Oracle SQL Plus使用说明
下一篇
无影云桌面