论数据库防火墙的高性能和可扩缩（一）

在这里，我们还是有必要先介绍一下数据库防火墙和传统网络防火墙的根本性差异，关于深度协议解析和内容分析的复杂性挑战

传统网络防火墙：通常只分析网络层的包头和部分协议特征，不会对通讯包进行深度分析，一般不会对应答包进行分析。

数据库防火墙：需要对数据库通讯协议的请求包和应答包（双向包）进行深度分析：

1、对于请求包，需要解析出包中的SQL语句、参数化语句、参数值、跟踪语句游标。

2、对于应答包，需要解析出返回字段信息、结果集、应答信息等。

3、对于SQL语句，需要进行词法和语法分析（下一篇文章会介绍为什么需要进行语法分析，而不是简单的关键词匹配）。

4、对于参数值，和结果集，需要进行格式转换，并根据策略进行必要的内容过滤。

很明显，二者对通讯包的处理工作量存在很大差异。面对这样的工作强度，我们必须赋予数据库防火墙一颗强大的“心”，对其进行专门的处理逻辑优化和性能优化，能够实现低延迟，保证数据库操作的高吞吐量要求。

核心业务数据库的高吞吐量和扩缩性挑战

在以银行、保险、电信为代表的大型企业，以税务、海关、航空为代表的行业，和以快递业为代表的新兴领域中，相比大规模的WEB应用服务器集群，数据库服务器基本上采用的是少量高端设备支撑大规模的核心应用，无论采用的是RAC集群还是分布式数据库集群，核心业务场景多数都是采用非常高端的小型机来搭建，动辄上百甚至几百个CPU，几百GB的内存，高端磁盘阵列，支撑起强大的数据库事务吞吐量（TPS）。