数据库作为企业核心数据资产存放的枢纽，面临来自各个方面的风险，包括数据和应用操作层面的威胁。而传统以IPS、网络防火墙为典型代表的网络安全防护手段，则主要是针对网络层面的攻击行为进行拦截和过滤，无法防护数据应用层面的SQL攻击或恶意操作等风险。

闪捷数据库防火墙产品通过数据库协议分析、权限管控，以及内置的安全漏洞库，能够实时发现、识别、并且阻断针对数据库侧的安全威胁，通过数据库权限管控、高危操作阻断、可疑行为审计等，为用户业务稳定和数据安全保驾护航。

闪捷数据库防火墙产品通过接管数据库访问，会对SQL协议进行深度解析，实现独立于数据库权限体系之外的权限管控功能。支持添加内置和自定义权限管控规则、支持经典的黑白名单以及智能动态基线机制。

针对所有触发安全策略的风险行为，防火墙提供告发送能力。

对于各类安全策略，不同的风险等级，防火墙提供多种类别的预警能力，同时，也可通过KAFKA等方式，将审计日志全量发送到其他安全平台，例如态势感知平台等，进行风险的统一纳管或日志二次解析。

闪捷数据库防火墙产品内置大量SQL注入攻击特征库，可有效检测并阻断SQL注入攻击风险和威胁

闪捷数据库防火墙产品内置大量数据库漏洞列表，可以将数据库访问行为与漏洞攻击行为的特征进行匹配，在数据库侧无需安全升级的基础上，对漏洞攻击行为进行及时发现和阻断，实现对数据库的安全防护。

防火墙提供详尽的审计日志，通过25+审计项，可全量还原数据库访问行为。同时提供多维度组合检索能力，帮助用户精确定位风险

闪捷数据库防火墙产品支持软/硬件Bypass、双机热备(或多机负载、流量分发)多种容灾机制，保障业务的连续性和高可用

闪捷数据库防火墙权限管控基于主体、客体和行为三元组进行设置，每个类别之下再细分多种维度：其中主体颗粒度可细化至用户、IP、主机、程序、时间、频次等；客体颗粒度可细化至表、敏感数据、行数等；行为颗粒度可细化至普通操作、特权操作、SQL语句、异常、存储过程等；策略组合数量多达数百种，从而实现对数据的精细化权限管控。

防火墙通过将客户端至数据库的TLS加密通道一分为二，访问数据库的流量先在防火墙处解密并处理完毕之后，再通过新的TLS加密通道发送至数据库，实现对加密流量的深度解析。

闪捷数据库防火墙提供智能学习技术，可以辅助防护策略的制定，通过对一段时间内的正常访问行为进行学习，可自动生成用户访问的特征模型，基于用户特征模型去设立基线规则，可大大提高风险识别能力，同时减少误报误阻，最大程度的避免对业务的影响。

□ 客户需求：1.客户数据库存在诸多漏洞，但对于数据库的升级客户比较谨慎，希望能够在保障业务稳定的前提下完成对数据库漏洞攻击的防护；2.客户注重等保合规，需要对访问进行表甚至字段级的细粒度管控。
□ 解决方案：1.桥接代理模式部署闪捷数据库防火墙系统；2.通过虚拟补丁技术，覆盖十余种数据库以及多种漏洞。
□ 用户收益：通过虚拟补丁，有效的解决了数据库漏洞带来的隐患威胁，同时满足了等保合规要求。

□ 客户需求：1.可发现分散在不同虚拟机中数据库的访问风险；2.不影响现有业务但可以进行安全防护。
□ 解决方案：1.客户将数据库梳理、迁移到几个物理集群后，在其上联的物理交换机上进行引流，先用旁路模式发现访问风险，并在此过程中进步调优策略；2.稳定后改用代理部署，对高危操作和SQL攻击等进行防护。
□ 用户收益：1.能够防护数据库攻击，且可对数据库的各种访问风险提出告警；2.通过风险报表每周汇总网络中的风，险操作，便于及时优化调整策略以避免误告警，最大程度减少对正常业务开展的影响。