数据库防火墙主要部署在业务应用侧,用于防止外部黑客的数据库入侵行为。系统采用全面的数据库通讯协议解析,通过SQL协议分析,和SQL注入特征抽象技术,能快速有效地捕获AQL注入的行为特征,根据预定的SQL白名单策略决定让合法的SQL操作通过执行,对符合SQL注入特征的可疑的非法违规操作进行阻断,从而形成一个数据库的外围防御圈,真正做到SQL危险操作的主动预防、实时审计。
产品功能
系统管理用户职责分离
数据库防火墙可以通过用户管理功能对数据库进行系统权限的有效划分。
SQL黑白名单
通过学习模式以及SQL语法分析构建动态模型,形成白名单,此外,为了完善用户访问数据库的正常模型,还允许数据库防火墙管理者对以及识别的SQL信息进行手工操作,完善黑白名单的策略。
SQL特征库
数据库防火墙通过语法描述分析SQL注入攻击不同时期的行为特征,构建SQL注入特征库。
CC攻击防御
数据库防火墙通过对sql执行的时长,频率,放回结果等多维度分析,识别出异常sql语句,并将sql语句与前端应用做关联分析,最终识别出CC攻击的发起用户或者发起方,通过防火墙联动或者前置安全探针来阻断CC攻击的恶意行为或者用户操作。
撞库检测和防御
数据库防火墙通过建立用户信息白名单,限制同一个IP的请求次数和请求频率来防止对数据库的撞库攻击。
拖库攻击防御
数据库防火墙通过在数据库中放入蜜罐表或者视图(应用程序绝对不会访问的数据),一旦该表或者视图被用户或者应用程序访问,即可认为该SQL执行是一次典型的“拖库”攻击,予以拦截。
可信应用
数据库防火墙可根据应用系统与数据库服务器的对应关系,设置基于应用、IP、SQL语句的组合白名单策略,更精准的控制来自数据库外部的SQL语句,有效避免0day、APT等攻击。
数据库弱点扫描
数据库弱点检查分为以下两种类型:①弱点检测;②安全相关信息展示。
虚拟补丁
数据库防火墙提供了虚拟补丁的功能,虚拟补丁在无需修补数据库内核漏洞的情况下,可以保护数据库的安全。
返回行超标禁止技术
数据库防火墙依托敏感数据分类分级功能,在此基础上提供基于敏感表格访问的返回行控制技术,同时产品能够对大量返回行或更新行事件做出告警、能够对频繁的相同语句做出告警。
全面精确的审计分析与追踪
数据库防火墙提供了全面详细的TraceLog(详细审计记录),和丰富的告警、跟踪事件记录,并在此基础上实现内容丰富的、动态可跟踪的实时审计分析。
未知威胁的智能化告警
数据库防火墙对于任何不认识的新面孔和操作都进行识别并告警。对于一些访问频率比较低的访问主题和操作,也进行识别和告警。
三层关联分析
数据库防火墙可以通过对浏览器与Web服务器、Web服务器与数据库服务器之间所产生的HTTP事件、SQL事件进行业务关联分析,管理者可以快速、方便的查询到某个数据库访问是由哪个HTTP访问触发,定位追查到真正的访问者,从而将访问Web的资源账号和相关的数据库操作关联起来。
安全事件告警分析
数据库防火墙提供安全事件分析功能,也可以对某条安全事件进行同类事件回顾,回溯相同的安全审计事件在历史上的发生情况。
安全事件搜索和分析
数据库防火墙提供基于Solr的搜索引擎的搜索功能,能够按照客户需求提供简单搜索,扩展搜索和高级搜索,能够根据客户搜索的条件搜索特点的安全事件信息。
实时监控与个性化告警
数据库防火墙实时告警引擎通过短信、邮件、动画等多种告警手段来保证告警的实时性。
极具价值的报表分析
数据库防火墙从整体安全层面内置了报表风险分布、风险趋势、在线信息、系统资源、网络流量五大块的报表,详细的展示数据库的安全情况及防火墙设备自身运行的一些状态信息,让用户更加直观明了地了解数据库的安全态势。
安全审计信息翻译
为了方便阅读和理解,数据库防火墙提供了安全审计信息翻译引擎,转化成可以理解的业务术语,方便阅读。
