自2015年8月至9月，數據庫安全專業提供商安華金和與第三方社區合作，共同面向廣大IT從業人員進行數據庫防火墻市場認知度調研，期望真實獲取來自用戶的反饋，把握客戶需求和體驗，從而進行數據庫防火墻產品的研發與改進。通過對400個有效樣本進行分析，總結歸納《數據庫防火墻技術市場調研報告》分享大家。

本次調研群體分布于全國各地，有意思的是，對于安全漏洞高發地區排名前三位的北京、上海、廣東，本次調查反饋用戶數量排名前三位的也對應到這三個地區。而在行業分布上，比較廣泛。參與調研用戶的角色，主要是網管/運維/系統管理員，軟件工程師/程序員，DBA/數據庫管理與開發人員。

根據調查結果顯示， 400個有效樣本反饋用戶對數據庫防火墻一經有一定認知，同時認為數據庫防火墻應該是應用防火墻的有效補充，對數據庫防火墻的作用還是給予肯定的。以下分別從不同維度展開說明：

75%以上的調研對象對數據庫防火墻有認知

數據顯示，75%以上調研人群表示對數據庫防火墻偶爾知道，而真正使用過的僅為10%

圖 1.1 調研對象對數據庫防火墻的認知

國產數據庫防火墻品牌認知度低于國際品牌

在現有Oracle、McAfee、Imperva及安華金和等國內外數據庫防火墻品牌選項中，58%調查對象更熟悉Oracle，安華金和僅次于McAfee排名第三位，占比14%。這個數據顯示，國產化的產品應用任重而道遠。

圖 1.2 數據庫防火墻品牌調研結果

用戶對十大數據庫防火墻價值認知

從數據庫防火墻產品的價值體現中，用戶認知度最高的還是防SQL注入、獨立于數據庫提供細粒度的訪問控制、針對數據庫漏洞行為進行主動攔截和阻斷。

圖 1.3 數據庫防火墻功能認知排序

用戶對數據庫防火墻部署的選擇

對于數據庫防火墻部署在應用側、運維側還是數據庫前段，用戶有不同的理解。61%的用戶認為應該部署在應用側，防止外部黑客的數據庫入侵行為;23%用戶則認為數據庫防火墻應該部署在數據庫的前端，對所有的數據庫訪問行為進行控制;16%的用戶認為產品應該部署在維護側，對內外部運維人員的數據庫操作進行細粒度控制。

數據庫防火墻部署在不同的位置，防護的重點有所不同，如果部署在數據庫前端，既能實現來自外部人員的攻擊，又能防止內部人員的誤操作。如果數據庫防火墻部署在運維側，主要對內部人員誤操作、批量刪除或是批量下載數據進行防護。如果數據庫防火墻部署在應用側，防御重點在于基于數據庫協議，針對SQL語法/詞法進行精確協議解析，從而防止外部對數據庫漏洞的攻擊和SQL注入。

如果防火墻部署在應用側，用戶對旁路、網關、代理、網橋這四類部署模式的態度也不同。其中旁路部署占比52%，從一定程度上反映出，串聯部署防火墻，用戶還是有所顧慮。

圖 1.4 數據庫防火墻應用側部署模式調研結果

70%用戶希望數據庫防火墻提供對數據庫主動防御的同時，對數據庫性能的影響降至最低

通過調研，我們試著探尋用戶采購數據庫防火墻時的需求，以期對數據庫防火墻的賣點進行匯總排序。結果顯示，70%被調查對象希望通過采購數據庫防火墻，進行強大而周密的策略防護方案，通過設置多種策略關聯對數據庫實現周密的防護。同時，高防護的過程中要求對數據庫性能影響降到最低。依次排在次要位置的需求分別是：(1)希望采購數據庫防火墻提供精準的數據庫防護能力，避免錯誤攔截和攻擊漏洞;(2)最新最全面的虛擬補丁功能，防護因數據庫漏洞和sql注入導致的數據庫惡意攻擊;(3)彌補市場上極光掃描器等設備對安全漏洞報告的缺失。

在數據庫防火墻的擴展性上，加密通訊需求占60%

在數據庫防火墻的擴展性上，60%用戶普遍認為，數據庫防火墻可以考慮提供SSL這樣的加密通道，以保持客戶端與數據庫的加密通訊;其次，23%用戶認為數據庫防火墻應當考慮對通過SSH、Telnet進行的遠程運維中的SQL操作也進行安全控制和審計;17%用戶認為數據庫防火墻可以考慮融入一些傳統防火墻的功能，比如IP和端口控制。

客戶通常會將數據庫防火墻與現有市場上其他安全產品比如WAF、堡壘機、網閘、網絡防火墻等進行比較。用戶對比后的理解和看法如下：

1、數據庫防火墻與WAF對比

數據庫防火墻與WAF之間的差異性，是用戶經常會問到的一個問題。 59%的用戶對此有明確認知，WAF主要防御對web應用系統的攻擊，但黑客具備繞過WAF攻擊數據庫服務器的能力，通過數據庫防火墻可以增加安全防線，能夠準確的找到兩個產品的側重點。只有7%的用戶認為應用端只需部署WAF，即可防止住惡意的攻擊。

2、數據庫防火墻與堡壘機對比

該問題，從用戶的反饋結果來看，答案的階梯性很明顯，66%的用戶認為堡壘機無法代替數據庫防火墻，壘機對于數據庫操作無法進行細粒度控制，無法根據影響行數或操作的危害特征進行運維側管控;而防火墻可以滿足以上特性。仍有10%用戶認為運維側部署堡壘機已經足夠，即可防止住運維側的數據泄露或篡改工作。

3、數據庫防火墻與網閘對比

大部分用戶對數據庫防火墻與網閘的功能比較清晰， 90%以上的用戶能夠明確區別兩者的作用，認同外網部署應用服務器，內網部署數據庫，在內外網之間部署數據庫防火墻;數據庫防火墻屏蔽掉其他通訊協議，保證數據庫通訊協議的安全性;通過這種方式既可以起到內外網的隔離，又能達到實施成本和工程復雜度的降低。現實應用中，網閘是可以讓數據庫協議穿透的，但網閘無對數據庫漏洞攻擊的防御能力;通過數據庫防火墻可以提升防御能力。僅有9%用戶認為通過網閘完全實現了內外網或不同密級網之間的隔離，不需要數據庫防火墻。

4、數據庫防火墻與網絡防火墻對比

數據結果顯示，目前市場上單一認為只需要數據庫防火墻或網絡防火墻的認知已經逐步被趨勢所替代，94%的用戶已經清晰認識到網絡防火墻是TCP/IP層的防火墻，數據庫防火墻是應用層防火墻;相互補充，不可互為替代;由于數據庫通訊協議的復雜性，下一代防火墻無法防止隱藏在合法協議中的數據庫攻擊，仍然需要數據庫防火墻來保障數據庫安全。