一、概述

數(shù)據(jù)庫(kù)防火墻仿佛是近幾年來(lái)出現(xiàn)的一款新的安全設(shè)備，但事實(shí)上歷史已經(jīng)很長(zhǎng)。2010年，Oracle公司在收購(gòu)了Secerno公司，在2011年2月份正式發(fā)布了其數(shù)據(jù)庫(kù)防火墻產(chǎn)品(database firewall)，已經(jīng)在市場(chǎng)上出現(xiàn)很多年頭了。由于數(shù)據(jù)庫(kù)防火墻這個(gè)詞通俗易懂，和防火墻、Web防火墻、下一代防火墻等主流安全產(chǎn)品一脈相承，很多公司也就把自己的數(shù)據(jù)(庫(kù))安全產(chǎn)品命名為數(shù)據(jù)庫(kù)防火墻。每家公司對(duì)于數(shù)據(jù)庫(kù)防火墻的定義各不相同，側(cè)重點(diǎn)也不一樣。也就是說(shuō)，雖然大家都在說(shuō)數(shù)據(jù)庫(kù)防火墻，很有可能是兩個(gè)完全不同的數(shù)據(jù)(庫(kù))安全設(shè)備。

二、什么是數(shù)據(jù)庫(kù)防火墻

數(shù)據(jù)庫(kù)防火墻顧名思義是一款數(shù)據(jù)(庫(kù))安全設(shè)備，從防火墻這個(gè)詞可以看出，其主要作用是做來(lái)自于外部的危險(xiǎn)隔離。換句話說(shuō)，數(shù)據(jù)庫(kù)防火墻應(yīng)該在入侵在到達(dá)數(shù)據(jù)庫(kù)之前將其阻斷，至少需要在入侵過(guò)程中將其阻斷。

1. 如何定義外部?

至于如何定義外部威脅，則需要對(duì)于數(shù)據(jù)庫(kù)邊界進(jìn)行明確的界定，而這個(gè)數(shù)據(jù)庫(kù)邊界的界定則具有多變性。第一種定義，從極限的角度來(lái)看，由于現(xiàn)在網(wǎng)絡(luò)邊界的模糊，可以把所有來(lái)自于數(shù)據(jù)庫(kù)之外的訪問(wèn)都定義為外部。如果是這個(gè)定義來(lái)看，防火墻承載的任務(wù)非常繁重，可能不是一個(gè)安全設(shè)備所能夠承擔(dān)的。第二種定義是數(shù)據(jù)中心和運(yùn)維網(wǎng)絡(luò)可以被定義為內(nèi)部訪問(wèn)，其他訪問(wèn)定義為外部訪問(wèn)，讓防火墻不需要去承載內(nèi)部運(yùn)維安全和員工安全，從而更好的工作。

綜合看來(lái)，我們采用第二種定義，數(shù)據(jù)庫(kù)防火墻主要承載數(shù)據(jù)中心和運(yùn)維網(wǎng)絡(luò)之外的數(shù)據(jù)(庫(kù))安全工作。

2. 如何定義數(shù)據(jù)庫(kù)防火墻?

一旦準(zhǔn)確的定義了什么是外部之后，什么是數(shù)據(jù)庫(kù)防火墻就比較清楚了。運(yùn)維網(wǎng)絡(luò)之外的訪問(wèn)我們都可以定義為業(yè)務(wù)訪問(wèn)。

數(shù)據(jù)庫(kù)防火墻是一款抵御并消除由于應(yīng)用程序業(yè)務(wù)邏輯漏洞或者缺陷所導(dǎo)致的數(shù)據(jù)(庫(kù))安全問(wèn)題的安全設(shè)備或者產(chǎn)品。數(shù)據(jù)庫(kù)防火墻一般情況下部署在應(yīng)用程序服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器之間，采用數(shù)據(jù)庫(kù)協(xié)議解析的方式完成。但這并不是唯一的實(shí)現(xiàn)方式，你可以部署在數(shù)據(jù)庫(kù)外部，可以不采用協(xié)議解析。從這個(gè)定義可以看出，數(shù)據(jù)庫(kù)防火墻其本質(zhì)目標(biāo)是給業(yè)務(wù)應(yīng)用程序打補(bǔ)丁，避免由于應(yīng)用程序業(yè)務(wù)邏輯漏洞或者缺陷影響數(shù)據(jù)(庫(kù))安全。

常見(jiàn)的應(yīng)用程序業(yè)務(wù)邏輯漏洞和缺陷：

SQL注入攻擊

cc攻擊

非預(yù)期的大量數(shù)據(jù)返回

敏感數(shù)據(jù)未脫敏

頻繁的同類操作

超級(jí)敏感操作控制

身份盜用和撞庫(kù)攻擊

驗(yàn)證繞行和會(huì)話劫持

業(yè)務(wù)邏輯混亂

本文鏈接：http://m.51huadong.com/cloundnews/11003352.html