“CSDN泄密事件”、“小米用戶賬號信息曝光”、“Facebook數據泄”和“12306網站用戶泄密事件”，“攜程網數據庫數據惡意刪除”……觸目驚心的數據泄漏事件一件接一件層出不窮。由數據庫安全原因爆發的安全問題越來越多，引起政企事業單位和社會的極大關注與反思。

當前信息化安全時代，以數據庫為基礎的信息系統在金融、保險、醫療、通訊等領域的基礎設施建設中都得到了非常廣泛的應用。在這一新的網絡環境下，因為信息的易獲取性，包含在數據庫系統中的關乎商業機密、個人隱私等涉密信息將面臨更多的安全威脅。想要保證信息系統的安全，就應該先防御信息系統的服務器漏洞、操作系統漏洞和網絡傳輸入侵數據庫。其中，對于網絡非法入侵數據庫，就可以通過數據庫防火墻來防御。

數據庫防火墻作為信息系統安全體系的基礎和核心控制設備，貫穿于受控網絡通信主干線，它對通過受控干線的任何通信行為進行安全處理，同時也承擔著繁重的通信任務。由于傳統邊界防御安全產品和解決方案采用的都是被動防御的技術，不能夠從根本上解決數據庫數據所面臨的安全威脅和風險，解決數據庫安全需要專用的數據庫安全設備從根本上解決數據安全問題。所以，目前很多企業在選擇安全產品的時候，首選的也是數據庫防火墻。

數據庫防火墻與傳統安全防護產品的區別

傳統防護模式IDS/IPS的局限

IDS和IPS都是基于IP的防護手段。IDS核心功能在于發現異常行為，而IPS與之對應是阻斷異常行為。無論是IDS還是IPS，核心的部分在于識別入侵。

主流IDS/IPS產品識別的依據通常是特征庫。一些IDS/IPS廠商試圖在其產品中增加數據庫攻擊特征指紋，并聲稱能保護數據庫。但是事實上這些通用的IDS/IPS無法為數據庫提供真正的保護。主要原因在于數據庫服務器與其他類型服務器不同，是高度復雜的服務器，采用豐富的交互式語言和復雜協議。IDS/IPS如果試圖采用同樣機制將傳統的處理方法照搬到數據庫，顯然是行不通的。

對于數據庫攻擊來說，攻擊特征是非常復雜和千變萬化的。比如SQL攻擊，一般的文檔會舉例 OR’1’=’1’,一些聲稱擁有數據庫攻擊檢測能力的IDS/IPS其實就是在Payload中尋找’1’=’1’的字符串，但是’2’=’2’呢?。。。這個列表可以說是無止盡的，也就是說IDS/IPSwu無法構建真正的能夠涵蓋數據庫攻擊的特征庫。

剝離傳統的IDS和IPS模式，我們反觀一下之前業界常用的web防火墻和網絡防火墻，和本文所提倡的數據庫防火墻，存在哪些區別

Web防火墻與網絡防火墻

數據庫防火墻與傳統的防火墻的主要區別就是從各自發揮的作用來看，一般有下述幾個區別。

1. 網絡層防火墻一般都是從網絡層進行防護。

2. WEB防火墻一般性都是對應用層的web協議解析進行防護，注重對WEB服務器的各種非法操作行為。

3. 數據庫防火墻主要是通過對應用層的數據庫通訊協議解析進行防護，來控制各種數據庫服務器的各種非法行為。

了解完數據庫防火墻與傳統防火墻的區別后，我們再了解下數據庫防火墻所帶給我們的好處。

1. 通過系統自身的補丁、SQL注入防護能力，能夠防止外部黑客攻擊。

2. 數據庫防火墻可以對內部人員、第三方開發人員在敏感業務數據上的批量更新、高危的數據刪除、表結構刪除等行為，可以進行實時的報警，防止內部人員的高風險操作;

3. 針對內部人員或黑客對于敏感數據的批量下載、查詢的行為進行較為嚴格的控制。

4. 對數據庫的操作行為進行多角度的分析，來形成各種形式多種觀察角度的審計報表，提供給客戶進行分析。

主流防火墻產品解析

上文我們對數據庫防火墻產品產生的必要性進行了必要性論述，下面我們就當前市場上幾款主流防火墻產注意做產品解析。

Oracle防火墻

Oracle在原來Secerno產品的基礎之上正式推出了Oracle Database Firewall。該產品致力于防范數據庫的非法訪問和SQL注入攻擊等安全問題，旨在全面加強數據庫安全性。Oracle防火墻部署在應用和數據庫之間設置的、用于加強數據庫訪問控制，對非法的訪問或攻擊進行阻，是一款純軟件的防火墻系統。實現機制是從源頭保護數據，通過阻止和記錄,審計和監測,訪問控制,加密和屏蔽等方式，以避免從應用中非法竊取信息,避免通過盜用身份非法竊取數據。

Oracle-DBF的策略管理工具構建于基于語法的 SQL 分析之上，可以針對給定數據庫定義經過認可的 SQL 語句白名單，還可以定義主動安全模型。當 Oracle防火墻策略管理使用有關網絡的多種因素時，就可以構建功能強大的細粒度策略，從而確定生產環境發生的更改的時間、地點和方式。這種方式有助于識別對應用程序的SQL注入攻擊，并且在這些攻擊接近數據庫之前就將其阻止。

McAfee防火墻

McAfeeFirewall是第一個使用全球信譽技術的防火墻解決方案，包括基于信譽的攔截和地理位置功能，以便在不需要的流量到達網絡之前將其過濾 —在發生攻擊之前將其阻止。McAfeeFirewall Enterprise可幫助安全管理員發現和識別數千種應用并執行相應的安全策略，為其提供額外的控制功能。能夠實時確定防火墻規則以及規則變化對應用可用性、使用和安全性所造成的影響。

McAfee處理數據庫防御功能外，針對數據庫審計功能也提出了一站式集中解決方案，可以集中處理企多個McAfee安全設備的日志和審計數據，其可擴展性使其能應用于大型企業環境。其實時的收集，監控，關聯并發出威脅警告，以便能夠果斷的采取防范措施。根據安全影響程度確定可操作信息的優先級，從而在威脅擴散或明信息泄露之前迅速采取補救措施。

#FormatImgID_1#McAfeeFirewall現在既可用于傳統設備，也可用于新的虛擬化硬件設備，支持用戶在其硬件虛擬環境中快速部署防護功能。

　　▲McAfeeFirewall產品功能

安華金和數據庫防火墻

安華金和數據庫防火墻(DBFirewall)，是國內首款專業數據庫防火墻產品，是一款集數據庫IPS、IDS和審計功能為一體的綜合安全產。從功能上即兼容了國際oracle數據庫防火和McAfee防火墻產品的諸多優勢，同時適用性上，不僅支持國際主流數據庫，也增加了對國內數據庫達夢、GBase、金倉三大品牌國產數據庫的支持。

DBFirewall通過SQL協議分析，根據預定義的禁止和許可策略讓合法的SQL操作通過，阻斷非法違規操作，形成數據庫的外圍防御圈,實現SQL危險操作的主動預防、實時審計。并且面對來自于外部的入侵行為，提供SQL注入禁止和數據庫虛擬補丁包功能(oracle數據庫防火墻所不具備);通過虛擬補丁包，數據庫系統不用升級、打補丁，即可完成對主要數據庫漏洞的防控。

　　▲DBFirewall客戶價值體現

DBFirewall通過學習模式以及SQL語法分析構建動態模型，形成SQL白名單和SQL黑名單，對符合SQL白名單語句放行，對符合SQL黑名單特征語句阻斷。對于數據庫用戶提供比DBMS系統更詳細的虛擬權限控制。

控制策略包括：用戶+操作+對象+時間。在控制操作中增加了Update Nowhere、delete Nowhere等高危操作;控制規則中增加返回行數和影響行數控制。

從以上三種防火墻系統的防護能力上加以細致分析，我們不難看出，數據庫防火墻產品主要功能在于對數據庫危險操作的阻斷或者攔截，對數據庫風險行為的預定義防護。數據庫防火墻主要起到DB外層防護圈的作用，主要會出現在應用服務器與數據庫服務器之間的應用側場景，維護人員與數據庫服務器之間的維護側場景，還有就是兩種場景混合的情況。

Oracle防火墻和McAfee防火墻產品屬于國際主流數據庫防火墻產品，同類產品中執牛耳者。具有豐富的數據庫防護經驗與經典的執行案例。但是不符合國保局對申報安全產品的要求，相對比，安華金和數據庫防火墻產品更符合國內數據庫防護要求及國家安全標準。更具有“中國式”數據庫安全防護功能特性。