資料庫防火牆的正確打開方式

在已經發布的等保2.0標準中，作為實現強制訪問控制的資料庫防禦工事，資料庫防火牆已被越來越多的用戶關注，應用在關鍵系統的資料庫安全防護中，以保護核心數據資產安全。

資料庫防火牆不同於大家更為熟悉的資料庫審計，根本區別在於兩者防護原理有本質區別，資料庫審計更像是攝像頭，旁路監控資料庫訪問，發現威脅進行告警，但不做實質上的防禦，實際上更偏向事後的追溯了。而資料庫防火牆則更為直接，可以通過直接串聯或旁路部署的方式，對應用與資料庫之間的訪問進行阻斷攔截等操作 ，它如同門衛，可以直接將可疑人員擋在門外，攔截阻斷安全威脅，起到事中防護的作用。

不過，最近也有聽到用戶疑問，資料庫防火牆串聯部署和旁路部署有何區別？當希望既實現實時阻斷，又不影響業務訪問時，兩種部署方式如何選擇？

今天，我們就針對兩種不同部署方式的威脅防禦原理進行簡單分析，利於用戶在選擇產品時能夠更好的選擇。

兩種部署方式技術原理分析

事實上，兩種部署方式的選擇更多取決於你的資料庫流量大小。

串聯模式部署在應用系統與資料庫之間，所有SQL語句必須經過資料庫防火牆的審核後才能到達資料庫，發起訪問、操作。基於漏洞特徵庫、SQL注入特徵庫、黑白名單等的細粒度安全策略制定，結合訪問源、訪問對象、訪問行為、影響行數等精確解析結果，識別惡意資料庫指令，及時採取中斷會話或精確攔截語句的防禦行為。

串聯部署最大的風險在於不能出現誤判斷，影響正常語句通過。這就要求資料庫防火牆的語句解析能力足夠精準，並且能夠建立非常完善的行為模型，在發現危險語句時，能夠在不中斷會話的基礎上，準確攔截風險語句，放行正常訪問。

因此，要想真正發揮防護效果，資料庫防火牆必須串聯在資料庫的前端，可以是物理的（透明串接）或邏輯的（代理）串聯。

至於旁路部署，目前大多數廠商是通過發送reset（重置）命令進行重置會話，但這樣的部署方式適用於較低流量情況下。如果面對高壓力場景，每秒鐘通過的SQL語句上千上萬條，這種旁路分析識別後再發出阻斷請求，勢必出現延遲，當資料庫防火牆發現風險操作時，資料庫早已執行完成，而此時發出阻斷要求，基本上攔截的是危險語句之後的正常訪問了，反倒影響了正常業務訪問。

無論從政策角度還是用戶自身安全考慮來講，訪問控制手段必須實現實時阻斷，等保2.0會對這方面增加要求，也體現了這一技術手段對於數據安全的必要性。

如何識別可以放心使用的資料庫防火牆？資質認證和案例參考

判斷資料庫防火牆產品的可靠性，有2個簡單的方式：資質認證和案例參考。

我們在選擇資料庫防火牆產品時，可以參考相關產品具備的資質專業度，「安全網關」類或「審計類」的產品資質更適用於網路層的安全產品，如果能夠具備「資料庫防護產品」資質，說明資料庫防火牆的專業性已經得到專業測評機構的權威認證，更加可靠。

案例方面，能夠經得住超高流量下的資料庫訪問控制，說明這樣的產品具備精準的協議解析與風險識別能力，並且能夠建立完善的行為模型和黑白名單，進而實現精確攔截。安華金和資料庫防火牆曾在雙十一期間為上海某大型物流企業提供資料庫安全保障，應對日均近3w條/秒的吞吐量，達到了精準攔截的效果。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！