|
|
知识路径: > 数据库系统安全 > 数据库安全机制与实现技术 > 数据库防火墙 >
|
|
相关知识点:4个
|
|
|
|
|
数据库防火墙如下图所示,其通过SQL协议分析,根据预定义的禁止和许可策略让合法的SQL操作通过,阻断非法违规操作,形成数据库的外围防御圈,实现SQL危险操作的主动预防、实时审计。面对来自外部的入侵行为,数据库防火墙提供SQL注入禁止和数据库虚拟补丁包功能。通过虚拟补丁包,数据库系统不用升级、打补丁,即可完成对主要数据库漏洞的防控。
|
|
|
|
|
|
|
|
|
|
(1)屏蔽直接访问数据库的通道。数据库防火墙部署介于数据库服务器和应用服务器之间,屏蔽直接访问的通道,防止数据库隐通道对数据库的攻击。
|
|
|
|
(2)增强认证。应用程序对数据库的访问,必须经过数据库防火墙和数据库自身两层身份认证。
|
|
|
|
(3)攻击检测。可实时检测用户对数据库进行的SQL注入和缓冲区溢出攻击,并报警或者阻止攻击行为,记录攻击操作发生的时间、来源IP、登录数据库的用户名、攻击代码等详细信息。
|
|
|
|
(4)防止漏洞利用。捕获和阻断数据库漏洞攻击行为,如利用SQL注入特征库可以捕获和阻断数据库SQL注入行为。实现虚拟化补丁,保护有漏洞的数据库系统。
|
|
|
|
(5)防止内部高危操作。系统维护人员、外包人员、开发人员等具有直接访问数据库的权限,可能有意无意地进行高危操作对数据造成破坏。通过数据库防火墙可以限定更新和删除影响行、限定无Where的更新和删除操作、限定drop、truncate等高危操作避免大规模损失。
|
|
|
|
(6)防止敏感数据泄露。黑客、开发人员可以通过应用批量下载敏感数据,内部维护人员可以远程或本地批量导出敏感数据。通过数据库防火墙可以限定数据查询和下载数量、限定敏感数据访问的用户、地点和时间。
|
|
|
|
(7)数据库安全审计。对数据库服务器的访问情况进行独立审计,审计信息可以包括用户名、程序名、IP地址、请求的数据库、连接建立的时间、连接断开的时间、通信量大小、执行结果等信息。
|
|
|
