億賽通數(shù)據(jù)庫防火墻(簡(jiǎn)稱DAS-FW)�,是一款基于數(shù)據(jù)庫協(xié)議分析與控制技術(shù)的數(shù)據(jù)庫安全防護(hù)系統(tǒng)��。DAS-FW基于主動(dòng)防御機(jī)制�����,實(shí)現(xiàn)數(shù)據(jù)庫的訪問行為控制����、危險(xiǎn)操作阻斷、可疑行為審計(jì)�����。DAS-FW是一款集數(shù)據(jù)庫IPS��、IDS和審計(jì)功能為一體的綜合安全產(chǎn)品�����。
產(chǎn)品價(jià)值:
訪問權(quán)限精細(xì)控制
通過分析數(shù)據(jù)庫流量數(shù)據(jù)���,獲取權(quán)限控制所需關(guān)鍵信息����,對(duì)相應(yīng)數(shù)據(jù)庫請(qǐng)求行為進(jìn)行放行或阻斷,達(dá)到第三方權(quán)限控制的目的��。
防止內(nèi)外高危操作
通過SQL注入特征庫捕獲和阻斷SQL注入行為�;通過限定更新和刪除影響行��、限定無Where的更新和刪除操作��、限定drop��、truncate等高危操作避免大規(guī)模損失�。
防止敏感數(shù)據(jù)泄漏
限定數(shù)據(jù)查詢和下載數(shù)量、限定敏感數(shù)據(jù)訪問的用戶���、地點(diǎn)和時(shí)間����。
審計(jì)追蹤非法行為
提供對(duì)所有數(shù)據(jù)訪問行為的記錄�����,對(duì)風(fēng)險(xiǎn)行為進(jìn)行SysLog�、郵件、短信等方式的告警,提供事后追蹤分析工具�。
產(chǎn)品優(yōu)勢(shì):
1、精細(xì)數(shù)據(jù)庫權(quán)限控制
針對(duì)數(shù)據(jù)庫表級(jí)別提供精細(xì)化的訪問權(quán)限控制��,授權(quán)對(duì)象除了基本的數(shù)據(jù)庫用戶以外�����,還可以對(duì)數(shù)據(jù)庫連接客戶端進(jìn)行權(quán)限控制�����,同時(shí)可設(shè)置權(quán)限規(guī)則的時(shí)間周期及有效時(shí)間范圍�。
2、全面數(shù)據(jù)庫入侵阻斷
提供全面的數(shù)據(jù)庫攻擊行為檢測(cè)和阻斷技術(shù)�����,包括:SQL注入禁止技術(shù)����、虛擬補(bǔ)丁技術(shù)、高危訪問控制技術(shù)��、返回行超標(biāo)禁止技術(shù)�、SQL語句模板技術(shù)
3�����、場(chǎng)景化安全策略設(shè)置
系統(tǒng)按照不同的防護(hù)場(chǎng)景提供預(yù)定義策略.
4��、分布式部署集中管理
除了傳統(tǒng)的單機(jī)部署模式��,還支持分布式部署和集中管理模式�����,可統(tǒng)一下發(fā)策略、統(tǒng)一管理����、統(tǒng)一展現(xiàn)。
產(chǎn)品特性:
SQL注入行為檢測(cè)阻斷:通過對(duì)SQL語句進(jìn)行注入特征描述��,完成對(duì)SQL注入行為的檢測(cè)和阻斷���。
防止敏感數(shù)據(jù)泄漏篡改:針對(duì)不同的數(shù)據(jù)庫用戶��,提供敏感表的操作權(quán)限��、訪問行數(shù)和影響行數(shù)的控制����,以及限制NO WHERE查詢和更新,從而避免大規(guī)模數(shù)據(jù)泄露和篡改�����。
支持SQL語句黑白名單:通過學(xué)習(xí)模式以及SQL語法分析構(gòu)建動(dòng)態(tài)模型��,形成SQL白名單和SQL黑名單��,對(duì)符合SQL白名單語句放行�����,對(duì)符合SQL黑名單特征語句阻斷���。
提供精細(xì)訪問權(quán)限管理:對(duì)于數(shù)據(jù)庫用戶提供比DBMS系統(tǒng)更詳細(xì)的虛擬權(quán)限控制�����??刂撇呗园ǎ河脩?���、終端�����、對(duì)象����、時(shí)間等元素����。
支持風(fēng)險(xiǎn)行為控制審計(jì):對(duì)數(shù)據(jù)庫訪問行為阻斷所采取的控制行為,包括:“中斷會(huì)話”和“攔截語句”兩種方式�����。
多種安全策略模型支持:支持許可模型和禁止模型
數(shù)據(jù)應(yīng)用訪問智能建模:提供學(xué)習(xí)期以完成對(duì)應(yīng)用訪問數(shù)據(jù)庫行為的建模�����,學(xué)習(xí)期提供兩種模式:初始化模式和完善模式����。
全面精細(xì)審計(jì)控制分析:提供全面詳細(xì)審計(jì)記錄�,告警審計(jì)和會(huì)話事件記錄,并在此基礎(chǔ)上實(shí)現(xiàn)了內(nèi)容豐富的審計(jì)瀏覽�、訪問分析和問題追蹤����,提供實(shí)時(shí)訪問首頁統(tǒng)計(jì)圖��。
系統(tǒng)高可用性設(shè)計(jì)保障:采用高可靠性設(shè)計(jì)�,支持多種高可靠性技術(shù),包括網(wǎng)絡(luò)bypass和雙機(jī)熱備等��,充分保障系統(tǒng)運(yùn)行穩(wěn)定可靠���,對(duì)客戶現(xiàn)網(wǎng)和業(yè)務(wù)零影響���。
部署方案:
1、單機(jī)串聯(lián)部署模式—支持兩種串聯(lián)模式
透明網(wǎng)橋模式:在網(wǎng)絡(luò)上物理串聯(lián)接入DAS-FW設(shè)備�,所有用戶訪問的網(wǎng)絡(luò)流量都串聯(lián)流經(jīng)設(shè)備,通過透明網(wǎng)橋技術(shù)�,客戶端看到的數(shù)據(jù)庫地址不變。
代理接入模式:網(wǎng)絡(luò)上并聯(lián)接入DAS-FW設(shè)備����,客戶端邏輯連接防火墻設(shè)備地址,防火墻設(shè)備轉(zhuǎn)發(fā)流量到數(shù)據(jù)庫服務(wù)器����。
2�、分布式部署模式
在數(shù)據(jù)庫流量指標(biāo)超出單臺(tái)DAS-FW處理性能指標(biāo)或者客戶客戶環(huán)境無法集中部署防護(hù)設(shè)備的情況下���,可采用分布式部署模式進(jìn)行部署���。將防護(hù)引擎分別串接部署到各數(shù)據(jù)庫網(wǎng)絡(luò)前端,通過交換機(jī)與防護(hù)中心連接��,如下圖所示:
在分布式部署模式下���,防護(hù)中心對(duì)各防護(hù)引擎進(jìn)行統(tǒng)一管理�����,防護(hù)規(guī)則由防護(hù)中心統(tǒng)一下發(fā)�,防護(hù)動(dòng)作由各防護(hù)引擎實(shí)施完成�����。
