天融信数据库防火墙系统

数据库防火墙概述

天融信数据库防火墙系统（简称TDSM-DBFW）是一款专业的、主动、实时保护数据库安全的解决方案。TDSM-DBFW具有虚拟补丁（VPatch）、SQL防火墙、访问控制三大引擎，可提供黑白名单和例外策略、潜在风险评估和防护、用户访问权限控制，以及针对数据库漏洞提供的虚拟补丁，并且具有实时监控数据库活动和灵活的告警功能。

TDSM-DBFW支持两种工作模式，可以作为数据库的IDS(入侵检测系统)和IPS(入侵防御系统)来应用。TDSM-DBFW独立于数据库配置和部署，这种方式能够在不影响数据库的情况下，达到灵活管理的目的。TDSM-DBFW支持灵活的部署模式，包括串联和旁路，以及高可用和ByPass。

与传统的SQL防火墙（依赖于正则表达式、字符串等技术识别SQL）不同，TDSM-DBFW可以智能的识别SQL类型，从而灵活的构建行为模型，且能够快速、准确的配置和定位策略。此外，通过智能的SQL识别，采用启发式风险评估，能够及时发现SQL的潜在风险，并进行控制（包括告警、拦截等），从而能够将攻击行为防患于未然。

TDSM-DBFW可监视数据库访问，实施访问策略，对异常的行为进行实时告警，并帮助防止来自于内外部的数据库攻击行为。此外，TDSM-DBFW还提供强大的数据库活动审计功能，从多个角度灵活呈现数据库的活动情况，有助于对数据库现状进行分析。

优势和特点

TDSM-DBFW能够准确的对双向通信的TNS协议进行解析，此外，TDSM-DBFW还能够根据策略，在不扰乱后续通信的情况下，灵活的控制TNS数据包，例如，替换TNS协议中的SQL语句，重新构建TNS协议包。

在应用层中，TDSM-DBFW能够对SQL语句进行智能的语法分析，从而达到防止对系统表和应用表恶意操作、防止对SQL注入等攻击，以及控制对数据库的细粒度访问等目的。

在安全审计过程中， TDSM-DBFW不仅能够记录网络层和传输层的信息，而且能够将应用层的信息记录下来，有助于对数据库的操作行为进行详细的分析。

综合来看，TDSM-DBFW不仅具备网络及传输层的数据库报文过滤的功能，还能够通过对数据库访问的应用协议进行解析和构建，通过对应用数据内容——SQL语句进行分析、检测与过滤，采用告警、拦截、阻断等方式保护数据库安全。

产品功能

安全、可靠的职责分离用户管理

对系统本身的管理，采用职责分离的用户管理模式，可以对不同的用户指定不同的权限。

灵活、易用的策略配置

产品提供了灵活和易于操作的策略配置管理。策略配置为保护数据库安全起到了决定性的作用。

全面、实时、灵活的防护控制

产品提供控制和审计两大类防护控制策略，全面保证针对数据库的所有操作都可以被控制、审计。

评估和防止SQL注入及风险操作

产品在SQL语法解析的基础上，对SQL的关键域信息，采用启发式发现SQL注入以及SQL中存在的风险，来达到保护数据库的目的。

虚拟修补数据库漏洞

虚拟补丁在无需修补数据库内核漏洞的情况下，保护数据库安全。它在数据库外创建了一个安全层，从而不用打数据库补丁，也无需停止数据库服务。

提供与第三方系统多种接入方式

产品可以将记录的SQL信息通过多种方式发送给第三方系统，如Syslog、日志文件等方式。

全面、精细、实时的审计分析和追踪

产品提供了全面详细的审计记录和丰富的告警、跟踪事件记录，并在此基础上实现了内容丰富的、动态可跟踪的实时审计分析和追踪。