数据库防火墙(简称DAS-FW),是一款基于数据库协议分析与控制技术的数据库安全防护系统。DAS-FW基于主动防御机制,实现数据库的访问行为控制、危险操作阻断、可疑行为审计。DAS-FW是一款集数据库IPS、IDS和审计功能为一体的综合安全产品。
产品价值:
访问权限精细控制
通过分析数据库流量数据,获取权限控制所需关键信息,对相应数据库请求行为进行放行或阻断,达到第三方权限控制的目的。
防止内外高危操作
通过SQL注入特征库捕获和阻断SQL注入行为;通过限定更新和删除影响行、限定无Where的更新和删除操作、限定drop、truncate等高危操作避免大规模损失。
防止敏感数据泄漏
限定数据查询和下载数量、限定敏感数据访问的用户、地点和时间。
审计追踪非法行为
提供对所有数据访问行为的记录,对风险行为进行SysLog、邮件、短信等方式的告警,提供事后追踪分析工具。
产品优势:
1、精细数据库权限控制
针对数据库表级别提供精细化的访问权限控制,授权对象除了基本的数据库用户以外,还可以对数据库连接客户端进行权限控制,同时可设置权限规则的时间周期及有效时间范围。
2、全面数据库入侵阻断
提供全面的数据库攻击行为检测和阻断技术,包括:SQL注入禁止技术、虚拟补丁技术、高危访问控制技术、返回行超标禁止技术、SQL语句模板技术。
3、场景化安全策略设置
系统按照不同的防护场景提供预定义策略。
4、分布式部署集中管理
除了传统的单机部署模式,还支持分布式部署和集中管理模式,可统一下发策略、统一管理、统一展现。
产品特性:
SQL注入行为检测阻断:通过对SQL语句进行注入特征描述,完成对SQL注入行为的检测和阻断。
防止敏感数据泄漏篡改:针对不同的数据库用户,提供敏感表的操作权限、访问行数和影响行数的控制,以及限制NO WHERE查询和更新,从而避免大规模数据泄露和篡改。
支持SQL语句黑白名单:通过学习模式以及SQL语法分析构建动态模型,形成SQL白名单和SQL黑名单,对符合SQL白名单语句放行,对符合SQL黑名单特征语句阻断。
提供精细访问权限管理:对于数据库用户提供比DBMS系统更详细的虚拟权限控制。控制策略包括:用户、终端、对象、时间等元素。
支持风险行为控制审计:对数据库访问行为阻断所采取的控制行为,包括:“中断会话”和“拦截语句”两种方式。
多种安全策略模型支持:支持许可模型和禁止模型
数据应用访问智能建模:提供学习期以完成对应用访问数据库行为的建模,学习期提供两种模式:初始化模式和完善模式。
全面精细审计控制分析:提供全面详细审计记录,告警审计和会话事件记录,并在此基础上实现了内容丰富的审计浏览、访问分析和问题追踪,提供实时访问首页统计图。
系统高可用性设计保障:采用高可靠性设计,支持多种高可靠性技术,包括网络bypass和双机热备等,充分保障系统运行稳定可靠,对客户现网和业务零影响。
部署方案:
1、单机串联部署模式—支持两种串联模式
透明网桥模式:在网络上物理串联接入DAS-FW设备,所有用户访问的网络流量都串联流经设备,通过透明网桥技术,客户端看到的数据库地址不变。
代理接入模式:网络上并联接入DAS-FW设备,客户端逻辑连接防火墙设备地址,防火墙设备转发流量到数据库服务器。
2、分布式部署模式
在数据库流量指标超出单台DAS-FW处理性能指标或者客户客户环境无法集中部署防护设备的情况下,可采用分布式部署模式进行部署。将防护引擎分别串接部署到各数据库网络前端,通过交换机与防护中心连接,如下图所示:
在分布式部署模式下,防护中心对各防护引擎进行统一管理,防护规则由防护中心统一下发,防护动作由各防护引擎实施完成。