数据库防火墙的七种武器

第一件武器，安全容灾机制是数据库防火墙的必备功能。

数据库防火墙常用的容灾机制主要包括网桥bypass和HA双机部署模式。

Bypass功能：是指在产品异常断电或系统宕机情况下，进行网桥的强制链接。虽然无法执行防护，但是确保了数据库通讯网络的畅通，从而确保应用系统的运行。

HA双机部署模式：是采用主备两台设备进行双机部署，当主设备异常无法防护时，强制切换到备用设备继续执行数据库安全防护。

第二件武器，虚拟补丁——精致的数据库漏洞防护能力

数据库防火墙引入了数据库虚拟补丁技术，通过收集并处理CVE报出的各类数据库漏洞，在数据库防火墙层面拦截对于数据库漏洞的攻击行为。帮助用户简便，及时，高效的完成数据库漏洞防护工作，很好的抵御外部入侵。

第三件武器，SQL注入阻断能力

 数据库防火墙产品通过对SQL语句进行注入特征描述，完成对SQL注入行为的检测和阻断。同时数据库防火墙系统提供缺省SQL注入特征库并支持定制化添加。全面的阻断了基于应用访问的攻击行为。

第四件武器，黑白名单，一套周密的防护机制

数据库防火墙一般需要建立一个学习周期，其目就是对数据库访问的SQL命令进行学习，并记录下学习的结果。通过语句模板进行归类映射海量的SQl语句，基于语句模板进行黑白名单关联，可以有效的从应用侧和运维侧两个层面进行规则设置，实现安全防护。

黑白名单语句和黑白名单规则编织成一幅安全防护的防线。基于优先级做规则遍历，黑名单阻断，拦截；白名单合规放行。

第五件武器，阻断、拦截功能充分保证数据库安全性

数据库防火墙区别于数据库审计产品，在审计、告警的基础上新增阻断、拦截操作。根据防火墙的防护规则，对非法访问、入侵行为和语句攻击进行会话阻断和语句拦截操作。可以基于高、中、低三种优先级进行规则设置，以实现风险防护。

第六件武器，SQL语句准确解析能力——数据库防火墙的核心能力

数据库防火墙由于其串联防护的特殊性，准确的协议解析能力，是考量一款数据库防火墙产品的关键。因为在串联的情况下任何的误报、漏报都可能导致不可预期的后果。

数据库防火墙通过对捕获的SQL语句进行精细SQL语法分析,并根据SQL行为特征和关键词特征进行自动分类，系统访问SQL语句有效“归类”到几百个类别范围内，完成高准确和高可用分析；再根据防火墙周密的规则设置，对命中风险的语句、行为进行阻断、拦截或告警操作。实现切实可靠的数据库安全保障。

第七种武器，全面的数据库支撑和细粒度管理

任何一款产品，评判是否完善的关键就是在于其支持的范围是否全面，功能是否完善。数据库防火墙产品首先需要实现的就是对国内外主流数据库产品做到全覆盖，以适应不同数据库的安全防护需求。

另外，防火墙产品对数据库用户提供比DBMS系统更详细的虚拟权限控制。控制策略包括：用户+操作+对象+时间 等多个维度。同时在控制操作中增加Update  Nowhere、delete  Nowhere等高危操作；控制规则中增加返回行数和影响行数控制。 从影响范围上判断是否触及风险是数据库防火墙的一大亮点。