安华金和数据库防火墙系统（Xsecure-DBFirewall）

安华金和数据库防火墙系统（简称Xsecure-DBFirewall），是一款基于数据库协议分析与控制技术的数据库安全防护系统。DBFirewall基于主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审计。

DBFirewall通过SQL协议分析，根据预定义的禁止和许可策略让合法的SQL操作通过，阻断非法违规操作，形成数据库的外围防御圈,实现SQL危险操作的主动预防、实时审计。

DBFirewall面对来自于外部的入侵行为，提供SQL注入禁止和数据库虚拟补丁包功能；通过虚拟补丁包，数据库系统不用升级、打补丁，即可完成对主要数据库漏洞的防控。

功能特点：

安华金和数据库防火墙Xsecure-DBFirewall的功能特点：

透明
DBFireWall对SQL语句和各种开发接口透明，无需对应用进行任何改造即可提供数据库安全保护服务。

准确
通过高精度的SQL语法分析，准备辨别数据库访问的主体和客体，并提供鉴权处理。

灵活
基于白名单、黑名单、和灰名单进行灵活的对象级和SQL级安全配置，满足不同场景的安全需求。
DBFireWall支持Bypass和Proxy及混合部署模式，支持高可用，最大限度适应企业级应用的需求。

防护能力：

安华金和数据库防火墙Xsecure-DBFirewall的防护能力：

•防止外部黑客攻击
威胁：黑客利用Web应用漏洞，进行SQL注入；或以Web应用服务器为跳板，利用数据库自身漏洞攻击和侵入。
防护：通过虚拟补丁技术捕获和阻断漏洞攻击行为，通过SQL注入特征库捕获和阻断SQL注入行为。
•防止内部高危操作
威胁：系统维护人员、外包人员、开发人员等，拥有直接访问数据库的权限，有意无意的高危操作对数据造成破坏。
防护：通过限定更新和删除影响行、限定无Where的更新和删除操作、限定drop、truncate等高危操作避免大规模损失。
•防止敏感数据泄漏
威胁：黑客、开发人员可以通过应用批量下载敏感数据，内部维护人员远程或本地批量导出敏感数据。
防护：限定数据查询和下载数量、限定敏感数据访问的用户、地点和时间。
•审计追踪非法行为
威胁：业务人员在利益诱惑下，通过业务系统提供的功能完成对敏感信息的访问，进行信息的售卖和数据篡改。
防护：提供对所有数据访问行为的记录，对风险行为进行SysLog、邮件、短信等方式的告警，提供事后追踪分析工具。

产品优势：

安华金和数据库防火墙Xsecure-DBFirewall的产品优势：

全面入侵阻断
提供业界最为全面的数据库攻击行为检测和阻断技术：
虚拟补丁技术：针对CVE公布的漏洞库，提供漏洞特征检测技术。
高危访问控制技术：提供对数据库用户的登录、操作行为，提供根据地点、时间、用户、操作类型、对象等特征定义高危访问行为。
SQL注入禁止技术：提供SQL注入特征库。
返回行超标禁止技术：提供对敏感表的返回行数控制。
SQL黑名单技术：提供对非法SQL的语法抽象描述。

高度应用兼容
对于IPS类产品最重要的是在保持“低漏报率”的同时维护“低误报率”；对于数据库而言这点更为关键，一点点“误报”可能就会造成重大业务影响。
DBFirewall提供强大的应用行为描述方法，以对合法应用行为放行，将误报率降低为“零”。
DBFirewall通过语法抽象描述不同类型的SQL语句，规避参数带来的多样化；通过应用学习捕获所有合法SQL的语法抽象，建立应用SQL白名单库。

快速部署实施
预定义策略模版： DBFirewall提供应用场景、维护场景、混合场景多种策略模版帮助用户快速建立安全策略。
预定义风险特征库： 通过预定义风险特征库快速建立风险阻断规则。
多种运行模式： DBFirewall提供IPS、IDS运行模式，提供学习期、学习完善期、保护期三种运行周期，以帮助用户在防火墙建设的不同阶段平滑过渡。

丰富产品系列

产品共分为3大系列，满足不同访问压力级别的应用需求。

应用模式：

安华金和数据库防火墙Xsecure-DBFirewall的应用模式：
数据库审计产品：提供全面数据库审计能力，符合等保三级需求
数据库入侵防御产品：接入在应用服务器和数据库服务器之间，防止外部黑客入侵
数据库运维管控产品：内部数据库运维接口，防止运维人员高危操作和泄漏敏感数据
内外网隔离装置：替代传统防火墙、IDS、IPS产品，实现唯一内网接入通道——安全数据库通讯