通过学习模式以及SQL语法分析构建动态模型，形成白名单，此外，为了完善用户访问数据库的正常模型，还允许数据库防火墙管理者对以及识别的SQL信息进行手工操作，完善黑白名单的策略。

数据库防火墙通过语法描述分析SQL注入攻击不同时期的行为特征，构建SQL注入特征库。

数据库防火墙通过对sql执行的时长，频率，放回结果等多维度分析，识别出异常sql语句，并将sql语句与前端应用做关联分析，最终识别出CC攻击的发起用户或者发起方，通过防火墙联动或者前置安全探针来阻断CC攻击的恶意行为或者用户操作。

数据库防火墙通过在数据库中放入蜜罐表或者视图（应用程序绝对不会访问的数据），一旦该表或者视图被用户或者应用程序访问，即可认为该SQL执行是一次典型的“拖库”攻击，予以拦截。

数据库防火墙可根据应用系统与数据库服务器的对应关系，设置基于应用、IP、SQL语句的组合白名单策略，更精准的控制来自数据库外部的SQL语句，有效避免0day、APT等攻击。

数据库弱点检查分为以下两种类型:①弱点检测；②安全相关信息展示。

数据库防火墙依托敏感数据分类分级功能，在此基础上提供基于敏感表格访问的返回行控制技术，同时产品能够对大量返回行或更新行事件做出告警、能够对频繁的相同语句做出告警。

数据库防火墙提供了全面详细的TraceLog（详细审计记录），和丰富的告警、跟踪事件记录，并在此基础上实现内容丰富的、动态可跟踪的实时审计分析。

数据库防火墙可以通过对浏览器与Web服务器、Web服务器与数据库服务器之间所产生的HTTP事件、SQL事件进行业务关联分析，管理者可以快速、方便的查询到某个数据库访问是由哪个HTTP访问触发，定位追查到真正的访问者，从而将访问Web的资源账号和相关的数据库操作关联起来。

数据库防火墙提供安全事件分析功能，也可以对某条安全事件进行同类事件回顾，回溯相同的安全审计事件在历史上的发生情况。

数据库防火墙提供基于Solr的搜索引擎的搜索功能，能够按照客户需求提供简单搜索，扩展搜索和高级搜索，能够根据客户搜索的条件搜索特点的安全事件信息。

数据库防火墙从整体安全层面内置了报表风险分布、风险趋势、在线信息、系统资源、网络流量五大块的报表，详细的展示数据库的安全情况及防火墙设备自身运行的一些状态信息，让用户更加直观明了地了解数据库的安全态势。

为了方便阅读和理解，数据库防火墙提供了安全审计信息翻译引擎，转化成可以理解的业务术语，方便阅读。