无忧时代：什么是数据库防火墙?

数据库防火墙技术是针对关系型数据库保护需求应运而生的一种数据库安全主动防御技术，数据库防火墙部署于应用服务器和数据库之间。用户必须通过该系统才能对数据库进行访问或管理。数据库防火墙所采用的主动防御技术能够主动实时监控、识别、告警、阻挡绕过企业网络边界(FireWall、IDSIPS等)防护的外部数据攻击、来自于内部的高权限用户(DBA、开发人员、第三方外包服务提供商)的数据窃取、破坏、损坏的等，从数据库SQL语句精细化控制的技术层面，提供一种主动安全防御措施，并且，结合独立于数据库的安全访问控制规则，帮助用户应对来自内部和外部的数据安全威胁。

　　数据库防火墙基于协议分析、完全SQL解析、参数化匹配、长语句解析、多语句解析、应用关联等核心技术，为数据库安全提供丰富的安全策略，如阻断、拦截等控制类策略，记录、告警等审计类操作，主动地、实时地、全方面地保障数据库免受数据库漏洞、应用侧和运维侧高危和恶意操作以及敏感数据泄露的威胁。

　　在大型工作环境中，需要接入多台据库防火墙设备以满足不同的数据库安全需求，每台数据库防火墙实现不同的安全策略。

　　数据库防火墙主要应用场景如下：

　　防止外部黑客攻击威胁：黑客利用Web应用漏洞，进行SQL注入;或以Web应用服务器为跳板，利用数据库自身漏洞攻击和侵入。

　　防护：通过虚拟补丁技术捕获和阻断漏洞攻击行为，通过SQL注入特征库捕获和阻断SQL注入行为。

　　防止内部高危操作

　　威胁：系统维护人员、外包人员、开发人员等，拥有直接访问数据库的权限，有意无意的高危操作对数据造成破坏。

　　防护：通过限定更新和删除影响行、限定无Where的更新和删除操作、限定drop、truncate等高危操作避免大规模损失。

　　防止敏感数据泄漏

　　威胁：黑客、开发人员可以通过应用批量下载敏感数据，内部维护人员远程或本地批量导出敏感数据。

　　防护：限定数据查询和下载数量、限定敏感数据访问的用户、地点和时间。

　　审计追踪非法行为

　　威胁：业务人员在利益诱惑下，通过业务系统提供的功能完成对敏感信息的访问，进行信息的售卖和数据篡改。

　　防护：提供对所有数据访问行为的记录，对风险行为进行SysLog、邮件、短信等方式的告警，提供事后追踪分析工具。