億賽通數(shù)據(jù)庫防火墻(簡稱DAS-FW)���,是一款基于數(shù)據(jù)庫協(xié)議分析與控制技術(shù)的數(shù)據(jù)庫安全防護(hù)系統(tǒng)����。DAS-FW基于主動防御機(jī)制����,實現(xiàn)數(shù)據(jù)庫的訪問行為控制����、危險操作阻斷、可疑行為審計����。DAS-FW是一款集數(shù)據(jù)庫IPS、IDS和審計功能為一體的綜合安全產(chǎn)品
訪問權(quán)限精細(xì)控制
通過分析數(shù)據(jù)庫流量數(shù)據(jù)����,獲取權(quán)限控制所需關(guān)鍵信息,對相應(yīng)數(shù)據(jù)庫請求行為進(jìn)行放行或阻斷�,達(dá)到第三方權(quán)限控制的目的���。
防止內(nèi)外高危操作
通過SQL注入特征庫捕獲和阻斷SQL注入行為;通過限定更新和刪除影響行���、限定無Where的更新和刪除操作�����、限定drop、truncate等高危操作避免大規(guī)模損失�。
防止敏感數(shù)據(jù)泄漏
限定數(shù)據(jù)查詢和下載數(shù)量、限定敏感數(shù)據(jù)訪問的用戶����、地點和時間。
審計追蹤非法行為
提供對所有數(shù)據(jù)訪問行為的記錄���,對風(fēng)險行為進(jìn)行SysLog��、郵件�����、短信等方式的告警���,提供事后追蹤分析工具���。
網(wǎng)絡(luò)防火墻運(yùn)作在底層的 TCP/IP 協(xié)議堆棧上,利用封包的多樣屬性來進(jìn)行過濾或阻斷的系統(tǒng)�,例如:來源 IP 地址、來源端口號����、目的 IP 地址或端口號、服務(wù)類型(如 WWW 或是 FTP)��,也能由通信協(xié)議���、TTL 值��、來源的網(wǎng)域名稱或網(wǎng)段等屬性來進(jìn)行過濾
產(chǎn)品特性:
SQL注入行為檢測阻斷:通過對SQL語句進(jìn)行注入特征描述�����,完成對SQL注入行為的檢測和阻斷��。
防止敏感數(shù)據(jù)泄漏篡改:針對不同的數(shù)據(jù)庫用戶���,提供敏感表的操作權(quán)限��、訪問行數(shù)和影響行數(shù)的控制�,以及限制NO WHERE查詢和更新����,從而避免大規(guī)模數(shù)據(jù)泄露和篡改。
支持SQL語句黑白名單:通過學(xué)習(xí)模式以及SQL語法分析構(gòu)建動態(tài)模型���,形成SQL白名單和SQL黑名單�,對符合SQL白名單語句放行���,對符合SQL黑名單特征語句阻斷。
提供精細(xì)訪問權(quán)限管理:對于數(shù)據(jù)庫用戶提供比DBMS系統(tǒng)更詳細(xì)的虛擬權(quán)限控制�����?�?刂撇呗园ǎ河脩?、終端、對象��、時間等元素�����。
支持風(fēng)險行為控制審計:對數(shù)據(jù)庫訪問行為阻斷所采取的控制行為,包括:“中斷會話”和“攔截語句”兩種方式�。
多種安全策略模型支持:支持許可模型和禁止模型
數(shù)據(jù)應(yīng)用訪問智能建模:提供學(xué)習(xí)期以完成對應(yīng)用訪問數(shù)據(jù)庫行為的建模,學(xué)習(xí)期提供兩種模式:初始化模式和完善模式��。
全面精細(xì)審計控制分析:提供全面詳細(xì)審計記錄�����,告警審計和會話事件記錄��,并在此基礎(chǔ)上實現(xiàn)了內(nèi)容豐富的審計瀏覽��、訪問分析和問題追蹤����,提供實時訪問首頁統(tǒng)計圖。
系統(tǒng)高可用性設(shè)計保障:采用高可靠性設(shè)計�,支持多種高可靠性技術(shù),包括網(wǎng)絡(luò)bypass和雙機(jī)熱備等�����,充分保障系統(tǒng)運(yùn)行穩(wěn)定可靠,對客戶現(xiàn)網(wǎng)和業(yè)務(wù)零影響���。
產(chǎn)品優(yōu)勢:
1����、精細(xì)數(shù)據(jù)庫權(quán)限控制
針對數(shù)據(jù)庫表級別提供精細(xì)化的訪問權(quán)限控制�����,授權(quán)對象除了基本的數(shù)據(jù)庫用戶以外�����,還可以對數(shù)據(jù)庫連接客戶端進(jìn)行權(quán)限控制����,同時可設(shè)置權(quán)限規(guī)則的時間周期及有效時間范圍���。
2���、全面數(shù)據(jù)庫入侵阻斷
提供全面的數(shù)據(jù)庫攻擊行為檢測和阻斷技術(shù),包括:SQL注入禁止技術(shù)�、虛擬補(bǔ)丁技術(shù)、高危訪問控制技術(shù)、返回行超標(biāo)禁止技術(shù)���、SQL語句模板技術(shù)
3���、場景化安全策略設(shè)置
系統(tǒng)按照不同的防護(hù)場景提供預(yù)定義策略.
4、分布式部署集中管理
除了傳統(tǒng)的單機(jī)部署模式��,還支持分布式部署和集中管理模式�,可統(tǒng)一下發(fā)策略、統(tǒng)一管理�、統(tǒng)一展現(xiàn)。
部署方案:
1����、單機(jī)串聯(lián)部署模式—支持兩種串聯(lián)模式
據(jù)庫審計系統(tǒng)-防護(hù)系列1-s.png)
透明網(wǎng)橋模式:在網(wǎng)絡(luò)上物理串聯(lián)接入DAS-FW設(shè)備,所有用戶訪問的網(wǎng)絡(luò)流量都串聯(lián)流經(jīng)設(shè)備�,通過透明網(wǎng)橋技術(shù),客戶端看到的數(shù)據(jù)庫地址不變����。
代理接入模式:網(wǎng)絡(luò)上并聯(lián)接入DAS-FW設(shè)備,客戶端邏輯連接防火墻設(shè)備地址�����,防火墻設(shè)備轉(zhuǎn)發(fā)流量到數(shù)據(jù)庫服務(wù)器。
2���、分布式部署模式
在數(shù)據(jù)庫流量指標(biāo)超出單臺DAS-FW處理性能指標(biāo)或者客戶客戶環(huán)境無法集中部署防護(hù)設(shè)備的情況下�����,可采用分布式部署模式進(jìn)行部署����。將防護(hù)引擎分別串接部署到各數(shù)據(jù)庫網(wǎng)絡(luò)前端����,通過交換機(jī)與防護(hù)中心連接,如下圖所示:
據(jù)庫審計系統(tǒng)-防護(hù)系列2-s.png)
在分布式部署模式下�����,防護(hù)中心對各防護(hù)引擎進(jìn)行統(tǒng)一管理�����,防護(hù)規(guī)則由防護(hù)中心統(tǒng)一下發(fā)�����,防護(hù)動作由各防護(hù)引擎實施完成����。
