MySQL企业版之Firewall（SQL防火墙）

2022-08-14 57

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

本文涉及的产品

云数据库 RDS MySQL Serverless，0.5-2RCU 50GB

简介： MySQL企业版之Firewall（SQL防火墙）

1. 关于Firewall插件

Friewall是MySQL企业版非常不错的功能插件之一，启用Firewall功能后，SQL的执行流程见下图示意：

2. Firewall插件的工作方式

Firewall插件的工作机制大概是这样的：

0.将某个账号Register（注册）到Firewall插件中，未注册的账号将不会被Firewall插件保护。

1.先将Firewall插件设置 recording（记录）模式，将各种SQL格式化/模式化之后，形成各种不同的SQL fingerprint（指纹）。例如下面的两条SQL，都会被格式化成一条：

# 原始SQL
a) SELECT * FROM t1 WHERE c1 = 1;
b) SELECT * FROM t1 WEHRE c1 = 1024;

# 格式化之后的SQL
SELECT * FROM t1 WHERE c1 = ?;

备注：在这个过程中，如果总有超长SQL的话，需要加大参数 max_digest_length 的设置，其默认值是1024。

2.Firewall插件会学习上述SQL，形成一个白名单。

3.经过一段时间的训练后，可以将Firewall插件工作模式切换为 protecting（保护）模式，开始工作。这时候就能自动判断有哪些SQL可能是恶意的，会被自动拒绝，并且记录到日志中，如果启用参数 mysql_firewall_trace的话。

4.如果还发生个别SQL被拒绝的情况，则可以将插件切换回 recording（记录）模式，继续学习训练一段时间再切换到工作状态。

5.此外，还有一种工作模式是detecting（探测），在这个模式下，符合白名单的会被放过执行，而其他SQL则会被记录到日志中，但并不会被拒绝执行，这就相当于正式开始工作前的灰度测试模式了。

简言之，就是在业务账号对外正式开放前，先自行模拟各种正常业务请求，使之完成前期必要的学习，正式上线后再开启保护模式。因为外网生产环境中坏人太多，任意时候都有可能有坏蛋提交各种恶意破坏的请求。

3. Firewall插件测试

接下来我们做个简单的测试场景。

首先，先尝试将一个新账号直接设置为 protecting 模式，这时候该账号还未学习任何规则，因此所有的SQL应该都会被拒绝才对。

[root@yejr.run]>CALL mysql.sp_set_firewall_mode('yejr@%', 'PROTECTING');

+-------------------------------------------------------------------------+
| result |
+-------------------------------------------------------------------------+
| ERROR: PROTECTING mode requested for yejr@% but the whitelist is empty. |
+-------------------------------------------------------------------------+

嗯，看来这个插件还挺聪明的，发现规则是空的，直接不让设置了，要不然可能会害的DBA直接下岗走人了吧，哈哈。还是先设置为 recording 模式吧。

[root@yejr.run]>CALL mysql.sp_set_firewall_mode('yejr@%', 'recording');
+-----------------------------------------------+
| read_firewall_whitelist(arg_userhost,FW.rule) |
+-----------------------------------------------+
| Imported users: 0
Imported rules: 0
          |
+-----------------------------------------------+
1 row in set (0.01 sec)

# 手动查询 mysql.firewall_users 表确认
[root@yejr.run]>select * from mysql.firewall_users;
+----------+-----------+
| USERHOST | MODE      |
+----------+-----------+
| yejr@%   | RECORDING |
+----------+-----------+
1 row in set (0.00 sec)

设置成功。

然后用这个新账号连接MySQL，执行一些合规的SQL操作后，再查看白名单规则表：

[root@yejr.run]>select * from mysql.firewall_whitelist;
+----------+--------------------------------------------------------+----+
| USERHOST | RULE                                                   | ID |
+----------+--------------------------------------------------------+----+
| yejr@%   | SHOW CREATE TABLE `t1`                                 |  8 |
| yejr@%   | SELECT * FROM `t1`                                     |  9 |
| yejr@%   | SELECT * FROM `t1` WHERE `id` >= ?                     | 10 |
| yejr@%   | SELECT  FROM `t1` WHERE `id` = `rand` ( )  ?         | 11 |
| yejr@%   | SELECT  FROM `t1` WHERE `id` = `rand` ( )  ? LIMIT ? | 12 |
| yejr@%   | SELECT * FROM `t1` WHERE `c1` >= ?                     | 13 |
+----------+--------------------------------------------------------+----+

再将该账号修改为 PROTECTING 模式：

[root@yejr.run]>CALL mysql.sp_set_firewall_mode('yejr@%', 'PROTECTING');
Query OK, 6 rows affected (0.01 sec)

执行一些不合规的SQL后，看怎么报错的。

[yejr@yejr.run] [test]>select * from t1 order by rand() limit 1;
ERROR 1045 (28000): Statement was blocked by Firewall

error log中也记录了相应的行为：

2020-06-09T09:50:38.286878Z 26 [Note] [MY-011192] [Server] Plugin MYSQL_FIREWALL reported: 'ACCESS DENIED for 'yejr@%'. Reason: No match in whitelist. Statement: SELECT * FROM `t1` ORDER BY `rand` ( ) LIMIT ?'

再查看几个相关的全局状态参数：

[root@yejr.run] [mysql]>show global status like '%firewall%';
+----------------------------+-------+
| Variable_name              | Value |
+----------------------------+-------+
| Firewall_access_denied     | 10    | #拒绝次数
| Firewall_access_granted    | 11    | #通过次数
| Firewall_access_suspicious | 9     | #在DETECTING模式下不匹配白名单的次数
| Firewall_cached_entries    | 6     | #在cache中的白名单数量

想要关闭该账号的Firewall规则，执行下面的指令即可：

[root@yejr.run] [mysql]>call mysql.sp_set_firewall_mode('yejr@%', 'RESET');

或者只是简单地设置为 OFF 也可以：

二者的区别在于，设置为 RESET 时，除了关闭Firewall保护，同时也会将该账号之前训练学习的白名单全部清空，这样下次再想采用Firewall保护就需要重头开始了，除非再也不用了，否则不建议这么做。当已经对一个账号启用Firewall保护后，此时有新增业务SQL不在白名单中，除了将模式改回 RECORDING 或 DETECTING 之外，其实还可以手动往 mysql.firewall_whitelist 表中插入格式化之后的SQL，再刷新使之生效即可，例如：

4. 总结

简单测试下来，我认为Firewall插件至少有几个地方可以更完善：

1.对SQL进行格式化时，不支持正则匹配模式，建议增加。

2.设置RECORDING模式测试期间，我执行一个SQL后，又手动执行CTRL+C终止，结果记录了一条KILL QUERY ? 的规则，这个规则就不建议记录了。

3.存储过程 mysql.sp_reload_firewall_rules() 可以增加一个参数表示重载规则后，是否要顺便设置账号的规则，例如 CALL mysql.sp_reload_firewall_rules('yejr@%', 'PROTECTING') 表示重载完规则后，顺便将该账号设置为 PROTECTING 模式。

总的来说，Firewall插件工作方式还是比较简单的，直观感觉就是对规则的学习比较初级，真正在线上生产环境启用的话，可能需要记录大量的规则，这也势必会造成性能的下降，以后再做个性能测试吧。

更多关于Firewall插件资料请查看官方手册。

最后亲切友情提醒：MySQL企业版下载后只能试用一个月，试用完毕后记得删除卸载哟，土豪的话直接无脑付费即可哟。