【IT168 资讯】“CSDN泄密事件”、“小米用户账号信息曝光”、“Facebook数据泄”……触目惊心的数据库泄漏事件一件接一件层出不穷。不但给企业、客户带来经济损失，也造成了巨大的社会影响。

　　而针对这种存储在数据库中的数据，信息安全行业内一直都在尝试各种安全防护手段。比如堡垒主机、数据库审计等产品，但是很明显，即使客户在实施了这些对数据库的安全防护方案的情况下，大量针对数据库中数据的攻击行为、数据库数据的泄漏/篡改行为还是屡见不鲜。因为堡垒主机解决的是否能登录到数据库服务器的问题，即进数据库之前的问题;数据库审计是将所有对数据库的访问行为做记录供事后追溯，解决的是发生泄露事件之后的追责问题。这两类产品对于用户登录数据库后对库中数据进行的各种操作、各种修改、各种数据下载的问题，无法及时发现、及时制止。只能在数据库泄漏、篡改事件发生之前、之后，进行登录权限检查和操作内容追溯。这种“马后炮”的防护方式，已经远远无法解决当前数据库面临的安全风险。

　　大量的客户，特别是已经部署了堡垒主机、数据库审计等防护手段的客户，已经开始考虑一种针对用户登录数据库之后能够实时控制操作过程的思路，即是否有这样一种产品，首先，它能够在用户登录数据库之前就对用户身份权限进行验证，并且将验证信息与用户能够访问的数据库中的表的内容关联起来，特定的用户只能访问特定的表，满足安全体系中的最小化权限分配要求;其次，它能够实时监控登录用户对数据库的访问行为，当发现违规的数据库数据泄漏、篡改的行为时，立刻将正在进行的违规行为阻断，从而实时阻止针对数据库的违规操作事件的发生，保证数据库中的数据不会出现安全危害;最后，它还能记录所有用户对数据库的各种访问行为，供追溯非重要的安全事件。

　　在大量客户的真实迫切的需求驱动下，业内出现了一种专门针对数据库实时防御的一种产品——数据库防火墙。可能大家都跟我一样，现在行业内已经有了网络防火墙、WEB防火墙，怎么又出来一种数据库防火墙，这种设备到底跟传统的防火墙有什么本质的区别?请看下图：

▲

　　图：常见的网络安全防护架构

　　从逻辑部署位置看：

　　1、 网络防火墙部署在网络出口处;

　　2、 WEB防火墙(WAF)部署在WEB服务器之前，网络防火墙之后;

　　3、 数据库防火墙(DBFW)部署在数据库服务器之前，WEB服务器之后。

　　从各自发挥的作用来看：

　　1、 网络防火墙主要从网络层进行安全防护;

　　2、 WEB防火墙通过对应用层的web协议解析进行防护，侧重对WEB服务器的各种非法操作行为;

　　3、 数据库防火墙(DBFW)通过对应用层的数据库通讯协议解析进行防护，控制针对数据库服务器的各种非法行为。

　　下面用一个简单的例子来说明数据库防火墙(DBFW)的功能特性。假设有这样一个数据库泄露事件：一名拥有数据库用户名、密码的黑客要从外网进入内网导出数据库中所有数据并公布大众。

　　首先，这个连接会通过网络防火墙，网络防火墙根据五元组(源IP、源端口、目的IP、目的端口、协议)分析，这个连接是很正常的一个访问数据库的连接，网络防火墙会将此连接放行;然后，这个连接到了web防火墙的位置，web防火墙检测到这个连接的目的端口和协议不是针对web服务器的，也会将此连接放行;这样这个连接就到了数据库的门口。如果没有数据库防火墙，因为这个连接中携带着正确的数据库用户名及密码，这个连接可以正常访问数据库，并且读取数据库中的所有数据，数据泄露在劫难逃，造成的后果不堪设想;而当我们在数据库门前放上一台数据库防火墙时，这一切全都变了。当这个连接到了数据库的门口，数据库防火墙会检测这个用户是否可以访问数据库、可以访问数据库中的哪张表、在读取数据库中数据的时候能读出来几行、有没有增、删、改、查数据的权限等，从而防止这个用户在数据库中为所欲为，将可能出现的数据泄露事件扼杀在萌芽状态，防止对企业、对个人造成不良影响。

　　通过上面的例子我们可以看到，数据库防火墙(DBFW)这种产品，它的工作方式、工作内容、保护内容都与数据库审计、与传统的网络防火墙、与WEB防火墙不尽相同。大家从上面的例子也基本可以了解到这种产品的核心功能及与众不同的特点。

　　数据库防火墙(DBFW)，是一种通过对于数据库通讯协议的分析而衍生出的一种数据库的访问控制类系统。数据库防火墙(DBFW)有多种工作模式，在串联模式下可具有SQL注入防护、数据库访问权限控制、数据库虚拟补丁防护等功能，当并联在网络中时又具备传统数据库审计的能力。它串联在网络中与并联在网络中实现的不同功能的异同点相当于传统网络安全中IPS(入侵防御系统)和IDS(入侵检测系统)的区别。通俗的讲，数据库防火墙(DBFW)系统能够通过对数据库通讯协议的分析而实现对数据库的权限访问控制、SQL防火墙功能，并且具备数据库审计能力。

　　那么这种产品在实施后，能为客户带来哪些好处呢?请看下图 所示数据库防火墙(DBFW)的防护效果。

▲

　　图：数据库防火墙(DBFW)防护效果

　　1、 通过系统的虚拟补丁、SQL注入防护能力，能够防止外部黑客攻击;

　　2、 对内部人员，比如运维人员、第三方开发人员在敏感业务数据上的批量更新、高危的数据删除、表结构删除等行为，可进行实时阻断和告警，防止内部人员的高危操作;

　　3、 对于内部人员或黑客对于敏感数据的批量下载、查询的行为进行严格控制;

　　4、 对数据库的操作行为，进行分析，形成多种形式、多种观察角度的审计报表，提供给客户进行分析。

　　我们可以看出，通过部署数据库防火墙(DBFW)系统，可从根本上杜绝多种针对数据库的安全事件发生。

　　在这类产品的实施过程中，对于客户在购买时考虑到数据库的安全性、稳定性，一般不希望或者不敢直接串联在数据库前时，这种产品也提供旁路接入模式。客户可完全根据自己的需要，前期进行旁路部署，在产品运行稳定、策略配置完备后再进行串联接入，实时防护。

　　数据库防火墙(DBFW)的推出，，在传统的网络安全的防护体系中，补充上了对数据库的防护这一环节，细化了网络安全设备的防护内容，真正实现了“术业有专攻”的数据库安全防护系统，从根本上解决了困扰大家多年的数据库安全问题。而天融信公司推出的数据库防火墙产品与天融信公司已有的数据库审计、数据库加密等产品一起构成了天融信数据库安全防护体系，为广大社会团体、企业用户的数据库数据提供了更完善的防护方案，为用户的数据库中的数据保驾护航。

　　相信从这类产品的问世以来，数据库的安全问题会越来越少，社会团体、企业、个人的隐私信息被任意泄露的现象将得到极大改善。