数据库防火墙部署于数据库之前。必须通过该系统才能对数据库进行访问或管理。数据库防火墙除提供网络防火墙的基本隔离功能以外,还提供独立的连接授权管理、访问授权管理、攻击保护、连接监控、审计等功能。部署该产品以达到牢牢控制数据库入口,提高数据应用安全性的目的。
- 屏蔽直接访问数据库的通道:数据库防火墙部署介于数据库服务器和应用服务器之间,屏蔽直接访问的通道。
- 二次认证:基于独创的“连接五元组”授权单位,应用程序对数据库的访问,必须经过数据库防火墙和数据库自身两层身份认证。支持IP/MAC/应用程序/证书等认证方式,可以与现有的CA系统有机集成。
- 二次授权检查:应用程序对数据库的访问,必须经过数据库防火墙和数据库自身两层权限检查。基于首创“授权七元组”授权单位,支持安全等级标记的访问控制策略。
- 攻击保护:实时检测用户对数据库进行的SQL注入和缓冲区溢出攻击。并报警或者阻止攻击行为,同时详细的审计下攻击操作发生的时间、来源IP、登录数据库的用户名、攻击代码等详细信息。
- 连接监控:实时的监控所有到数据库的连接信息、操作数、违规数等。管理员可以断开指定的连接。
- 安全审计:系统能够审计对数据库服务器的访问情况。包括用户名、程序名、IP地址、请求的数据库、连接建立的时间、连接断开的时间、通信量大小、执行结果等等信息。并提供灵活的回放日志查询分析功能,并可以生存报表。
- 审计探针:本系统在作为数据库防火墙的同时,还可以作为数据库审计系统的数据获取引擎,将通信内容发送到审计系统中。
- 口令管理:提供满足法规要求的数据库登录口令管理。
产品特点
- 支持桥接、网关和混合接入方式
- 基于硬件的BYPASS能力,防止单点失效
- 多线程技术和缓存技术,支持高并发连接
- 安全支持OCI、ODBC、JDBC等已知访问协议
- 配置管理采用浏览器界面,方便学习和使用
- 现有应用程序与透明数据库防火墙之间可以无缝连接,部署和配置过程简单
- 可以灵活的对每个应用程序的访问权限进行配置,可以选择全部放行、到数据库级别、模式级别、表级别、字段级别的权限控制
- 支持基于安全等级标记的访问控制策略
- 可以选择违规响应策略,审计、拒绝访问
- 可以配置审计的内容,对于违规等重要的事件,系统进行强制审计。用户也可以选择对常规操作进行审计
- 先进的查询功能,并可以使用多个查询条件,包括时间、IP、用户名、风险等级等
- 支持双机热备功能,保障连续服务能力
支持平台
操作系统:数据库防火墙不受数据库服务器所在操作系统的限制
支持的数据库:
- Oracle 8i, Oracle 9i, Oracle 10G, 11G …
- Ms Sql Server 2000, 2005, 2008 …
- Mysql
- DB2
- Informix
- Sybase
- Cache
- …
部署方案
产品支持灵活的部署方式:
- 透明桥接接入:完全不更改应用软件设置,支持断路BYPASS能力
- NAT方式接入:隐藏真实数据库地址
- 分散部署、集中管理:集中进行授权策略制定,统一分发策略
性能
数据库防火墙具有很高的吞吐率,支持百万级别的并发连接。数据库防火墙的加入,对基于数据库的系统的性能影响低于1%。
标签: 数据库安全, 数据库安全审计, 数据库审计, 数据库防火墙