安华金和数据库防火墙系统产品概述
安华金和数据库防火墙系统(简称DBFirewall),是一款基于数据库协议分析与控制技术的数据库安全防护系统。
DBFirewall基于主动防御机制,实现数据库的访问行为控制、危险操作阻断、可疑行为审计。
安华金和数据库防火墙系统产品价值
防止外部黑客攻击
威胁:黑客利用Web应用漏洞,进行SQL注入;或以Web应用服务器为跳板,利用数据库自身漏洞攻击和侵入。
防护:通过虚拟补丁技术捕获和阻断漏洞攻击行为,通过SQL注入特征库捕获和阻断SQL注入行为。
防止内部高危操作
威胁:系统维护人员、外包人员、开发人员等,拥有直接访问数据库的权限,有意无意的高危操作对数据造成破坏。
防护:通过限定更新和删除影响行、限定无Where的更新和删除操作、限定drop、truncate等高危操作避免大规模损失。
防止敏感数据泄漏
威胁:黑客、开发人员可以通过应用批量下载敏感数据,内部维护人员远程或本地批量导出敏感数据。
防护:限定数据查询和下载数量、限定敏感数据访问的用户、地点和时间。
审计追踪非法行为
威胁:业务人员在利益诱惑下,通过业务系统提供的功能完成对敏感信息的访问,进行信息的售卖和数据篡改。
防护:提供对所有数据访问行为的记录,对风险行为进行SysLog、邮件、短信等方式的告警,提供事后追踪分析工具。
安华金和数据库防火墙系统产品优势
全面的入侵防御技术
提供业界最为全面的数据库攻击行为检测和阻断技术:
虚拟补丁技术:针对CVE公布的漏洞库,提供漏洞特征检测技术。
高危访问控制技术:提供对数据库用户的登录、操作行为,提供根据地点、时间、用户、操作类型、对象等特征定义高危访问行为。
SQL注入禁止技术:提供SQL注入特征库。
返回行超标禁止技术:提供对敏感表的返回行数控制。
SQL黑名单技术:提供对非法SQL的语法抽象描述。
应用‘零’误报技术
对于IPS类产品最重要的是在保持“低漏报率”的同时维护“低误报率”;对于数据库而言这点更为关键,一点点“误报”可能就会造成重大业务影响。
DBFirewall提供强大的应用行为描述方法,以对合法应用行为放行,将误报率降低为“零”。
DBFirewall通过语法抽象描述不同类型的SQL语句,规避参数带来的多样化;通过应用学习捕获所有合法SQL的语法抽象,建立应用SQL白名单库。
快速部署实施能力
预定义策略模版:DBFirewall提供应用场景、维护场景、混合场景多种策略模版帮助用户快速建立安全策略。
预定义风险特征库:通过预定义风险特征库快速建立风险阻断规则。
多种运行模式:DBFirewall提供IPS、IDS运行模式,提供学习期、保护期两种运行周期,以帮助用户在防火墙建设的不同阶段平滑过渡。
安华金和数据库防火墙系统功能特性
【支持数据库类型】
Oracle、SQLServer、DB2、Informix、Sybase、Cache等国外主流数据库;
MySQL、PostgreSQL等开源数据库
达梦、GBase、金仓、Oscar等国内主流数据库。
【虚拟补丁】
CVE上公布了2000多个数据库安全漏洞,这些漏洞给入侵者敞开了大门。数据库厂商会定期推出数据库漏洞补丁,由于数据库打补丁工作的复杂性和对应用稳定性的考虑,大多数企业无法及时更新补丁。
DBFirewall提供了虚拟补丁功能,在数据库外的网络层创建了一个安全层,用户在无需补丁情况下,完成数据库漏洞防护。DBFirewall支持22类,460个以上虚拟补丁。
【黑白名单支持】
DBFirewall通过学习模式以及SQL语法分析构建动态模型,形成SQL白名单和SQL黑名单,对符合SQL白名单语句放行,对符合SQL黑名单特征语句阻断。
【细粒度权限管理】
DBFirewall对于数据库用户提供比DBMS系统更详细的虚拟权限控制。
【SQL注入禁止】
DBFirewall通过对SQL语句进行注入特征描述,完成对SQL注入行为的检测和阻断。系统提供缺省SQL注入特征库;系统提供定制化的扩展接口。
【阻断和审计】
阻断动作包括:中断会话和拦截语句。
审计行为分为:普通审计和告警审计。
告警通知包括:syslog、snmp、邮件和短信。
【行为监控与分析】
DBFirewall提供全面详细审计记录,告警审计和会话事件记录,并在此基础上实现了内容丰富的审计浏览、访问分析和问题追踪,提供实时访问统计图。
DBFirewall通过对捕获的SQL语句进行精细SQL语法分析,并根据SQL行为特征和关键词特征进行自动分类,系统访问SQL语句有效“归类”到几百个类别范围内,完成审计结果的高精确和高可用分析。
【部署模式】
串联模式
DBFirewall支持两种串联模式:
透明网桥模式:在网络上物理串联接入DBFirewall设备,所有用户访问的网络流量都串联流经设备;通过透明网桥技术,客户端看到的数据库地址不变。
代理接入模式:网络上并联接入DBFirewall设备,客户端逻辑连接防火墙设备地址,防火墙设备转发流量到数据库服务器;通过代理接入模式,网络拓扑结构不变。
旁路部署模式
DBFirewall设备不直接接入网络,而是通过TAP、SPAN等技术将网络流量映射到防火墙设备;通过旁路部署模式既不改变网络拓扑,也不在应用链路上增加新的设备点。
