摘要: 1.安恒明御数据库防火墙简介 安恒明御数据库防火墙产品(简称DB Firewall或DAS-DBFW)是安恒信息在数据库安全及数据库协议八年研究的经验积累上,结合当下数据库安全行业防护现状推出的一款以数据库访问控制为基础,以攻击防护和敏感数据保护为核心的专业级...
1.安恒明御数据库防火墙简介
安恒明御数据库防火墙产品(简称DB Firewall或DAS-DBFW)是安恒信息在数据库安全及数据库协议八年研究的经验积累上,结合当下数据库安全行业防护现状推出的一款以数据库访问控制为基础,以攻击防护和敏感数据保护为核心的专业级数据库安全防护设备,可以实现对数据库服务器从系统层面、网络层面、数据库三维一体的立体安全防护,数据库层面防护主要是从精细的合规访问控制、攻击漏洞特征识别阻断、虚拟补丁加固防护、数据篡改泄露保护四个方面对数据库提供实时的防护,极大的减少了数据库攻击行为及违规访问发生,提高数据库的安全,保护企业敏感数据的合法正常使用。
安恒明御数据库防火墙(DAS-DBFW)是专业级的数据库安全防护与访问控制设备,支持主流的关系型数据库(Oracle、SQL server、DB2、Mysql、Sybase、Informix),能够对进出核心数据库的双向访问流量进行高效精准的解析、访问控制和攻击特征检测,根据内置的各种漏洞攻击特征策略以及自定义策略实时的对数据库的请求进行精准处理判断,一旦引擎识别到访问请求属于违规访问或者攻击行为将实时告警阻断,让数据库的安全以可视化直观的的方式将所有的访问都呈现在管理者的面前,数据库不再处于不可知、不可控的情况,数据威胁将被迅速发现和响应,因此,广泛适用于需要加强数据库安全的的政府、金融、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、电子商务等行业客户。
2.功能特点
明御数据库防火墙(DAS-DBFW)是专业级的数据库安全防护与访问控制设备,能够对进出核心数据库的访问流量进行高效、精准的解析和访问控制,根据内置的各种漏洞攻击特征策略以及自定义策略实时的对数据库的请求进行精准处理判断,一旦引擎识别到访问请求属于违规访问或者攻击行为将实时告警阻断,让数据库的安全以可视化直观的的方式将所有的访问都呈现在管理者的面前,数据库不再处于不可知、不可控的情况,数据威胁将被迅速发现和响应。
2.1.数据库整体安全直观、可视
DBFW根据系统的攻击告警情况,根据告警的严重级别自动给系统进行评分,实时显示系统的安全总体状况,数据库的安全更加直观、可视、简单,如下图所示:
2.2.精准的数据库协议代理引擎
由于数据库协议大部分都是私有协议,传统数据库厂商为了自身数据库的安全,并不会公开数据库协议详细细节内容,且数据库协议随数据库种类、版本、操作系统的不同而不同,传统的协议分析方法仅仅只能做到粗粒度的审计,很难精准的分析协议的每个细节,很难研发协议代理引擎,安恒数据库防火墙研发团队通过八年数据库协议逆向分析成果经验的积累,八年磨一剑,终于成功研发了明御数据库防火墙核心的数据库协议代理引擎,协议代理准确度高达99.9999%,安恒明御数据库防火墙目前支持市场上主流的所有的数据库类型,如Oracle、MS SQL server、DB2、MySQL、Sybase等。
2.3.极高的处理性能
安恒明御数据库防火墙采用领先的CPU绑定、多线程负载均衡处理技术,根据sip、sport、dip、dport、会话流量五个因子,通过多年的数据库流量分析经验积累,采用独创的数据库流量负载均衡分发算法将数据库流量非常均衡的分配到不同的CPU上,最大程度的做到了多核间的真正的并行处理,大幅提升了设备的应用层处理性能,并发4000个数据库长连接会话,单设备吞吐量高达Gbps单台设备最高可处理每秒40000条SQL,系统延时不超过1毫秒,并进行深度检测全防护
2.4.三维一体全方位数据库防护
DBFW以目标数据库服务器为核心,从数据库服务器的底层系统、网络、数据库三个层面分别进行三位一体的立体防护,如下图所示:
从根本上保证数据库服务器的底层操作系统免受攻击、网络层面实现有效的网络防护、数据库层面实现合规访问控制和攻击防护,彻底解决数据库的安全防护难题。
2.5.灵活的自定义防护规则
DBFW提供细粒度的防护规则,支持根据数据库、用户名、客户端工具、源IP、主机名、SQL关键词、操作类型、返回行数、执行时长、SQL错误代码等设
灵活的防护规则自定义
2.6.合规的访问控制
DBFW采用串联部署,通过实时的数据库协议代理彻底的实现了精细化的访问控制,对维护人员和业务系统的请求进行有效的访问控制,对进出核心数据库的访问流量进行高效、精准的解析和精细的访问控制,根据预设的自定义规则有效的识别各种可疑、违规的访问行为,实时放行或者阻断对应的SQL请求或者会话,有效的阻止不允许访问的,深度的检测授权的访问是否合规,从而达到数据库访问的合规。如下截图所示:
2.7.丰富的数据库漏洞特征库
明御数据库防火墙结合多年数据库安全研究经验,将自研的特征库以及已公开的CVE的漏洞库形成检测策略全部内置到DBFW,内置的数据库漏洞特征库规则近千条,基本上涵盖了主流的所有的数据库。
2.8.虚拟补丁防护
随着用户加强数据库安全建设,越来越多的数据库安全漏洞也会被数据库安全研究者所发现,漏洞一但公开,数据库厂商并不能在第一时间对漏洞进行修复并发布升级补丁,即使厂商发布了对应的漏洞升级补丁用户并不敢第一时间对数据库进行升级,安恒数据库安全团队结合客户的这种实际使用需求,独创数据库虚拟补丁技术,通过控制数据库的请求参数、类型和个数在一定层面防御黑客利用已公开的数据库安全漏洞攻击数据库,对数据库的安全漏洞起到一定的的防御作用,极大的保护了未升级漏洞补丁的数据库服务器,极大降低了用户数据篡改和泄露的可能。
2.9.场景化防护
数据库涵盖了方方面面的数据,如对数据库展开基础防御,则很难达到防御的效果。基础防御涉及到配置工作量大,很难全面防御,针对这种情况,则需要对重点数据、相关场景进行场景式防御。如:SQL注入防护、敏感数据保护防护、拖库攻击防护、撞库攻击防护,通过建立不同的攻击场景,从而及时发现以及阻断各种攻击行为。
2.10.丰富的告警方式
在访问或会话触发了威胁规则的情况下,DBFW会立即进行多种形式的告警,包括手机短信、邮件、屏幕,还能够以SYSLOG方式发送到明御综合日志审计平台(DAS-Logger)或其它相应的网管中心平台进行集中监测和网络整体关联监测。
2.11.最具价值的报表系统
DBFW系统从整体安全层面内置了报表风险分布、风险趋势、在线信息、系统资源、网络流量五大块的报表,详细的展示数据库的安全情况及防火墙设备自身运行的一些状态信息,让用户更加直观明了的了解数据库的安全态势。
2.12.极高的可靠性稳定性
DBFW在设计之初就考虑了高可用及高稳定,从软硬件架构层面整体方面考虑系统的稳定性及可靠性。
硬件层面采用工业级专用工控机、硬盘RAID保护、电源双冗余、网卡自动bypass、CF卡+硬盘双启动等五大方面保证硬件的足够稳定。
软件层面采用软硬bypass流量自动直通保证业务的稳定,软件bypass有主控引擎分别对系统性能过载、系统异常、文件系统异常、代理引擎异常、协议代理超时异常进行实时轮训全方位监控,一旦出现任何异常,系统将自动通过驱动接口调用硬件bypass对数据库流量硬件直通或者软件bypass直接转发业务流量不做处理,保证软件层面系统的稳定。
安恒明御数据库防火墙采用软硬隔离设计,又采用软硬互补的策略保证设备从整体足够的稳定可靠,任何情况下以不影响客户业务稳定为前提,以安全防护为核心的策略保证数据库的安全。
3.部署模式
3.1.基本部署模式
DAS-DBFW采用串联透明模式部署,需要将DBFW串联在在交换机与目标被防护数据库服务器之间,所有业务系统和维护人员的访问流量都会经过数据库防火墙,防护所有人员的访问行为,如下图所示
在部分业务场景下,由于用户只需要对系统维护人员(如开发人员、测试人员、数据库管理员、网络管理员、系统管理员、第三方运维人员等)等对数据库的访问行为进行控制,可以通过调整DBFW的部署区域,将防火墙部署在维护网络的出口处仅防护维护人员对数据库的访问行为,如下图所示:
3.2.防护模式
在许多业务场景情况下,用户在数据库防火墙部署初期只想DBFW开启攻击检测而不阻断,避免影响实际业务系统正常工作,安恒明御数据库防火墙支持两种全局工作模式:攻击检测和攻击阻断。
攻击检测:引擎自动启用API接口启用软件bypass对数据库访问流量直通,引擎在实际上处于旁路工作模式,对业务是真正零影响,且引擎仅仅只对违规及攻击行为进行检测告警,实际并不阻断违规行为,不影响任何业务的正常运行。
攻击阻断:引擎工作在透明代理模式,直接开启防护阻断,一旦检测到违规攻击行为时,不仅对违规攻击行为进行告警,而且立即阻断当前违规命令或者会话,对数据库进行直接保护。