这第一篇我们来说数据库防火墙的父辈,家族元老级成员:网络防火墙。
自从1986年美国digital公司在internet上安装了全球第一个商用防火墙系统,提出防火墙的概念,防火墙技术得到了飞速的发展。经过多年的基因优化,网络防火墙历经多次变革,已经演变成一个全方位的安全技术集成系统。
他被委以重任,肩负多重安全责任
威胁形态不断演进,曾经风光无限的他,今日却也面临尴尬境地
曾经有句话,说防火墙配置的好,中了木马都没法控制你。2008年之前,电脑的安全软件标配基本是病毒防火墙 网络防火墙,天网、瑞星、金山……曾经红极一时,可渐渐,面对黑客越来越精妙的攻击技术,他们却溃不成军。
如今的黑客,可以利用开放的端口,巧妙躲过网络防火墙的监测,或者利用更为复杂的攻击方法,绕过网络防火墙,直接攻击数据库系统,获取企业核心数据。安全态势不断演变,安全威胁不断升级,对于核心数据库的防护,父辈的网络防火墙已力不从心,数据库防火墙应运而生,青出于蓝而胜于蓝,继承了父辈的优良血统,同时更精准、细化的数据库防护能力,让它迅速成为家族中的明日之星。
就在几年前,数据库防火墙降生到安全家族。短短几年,这个家族新人已经逐渐成为企业核心数据防护的首要利器,相比于网络防火墙的边界安全属性,数据库防火墙的出现,真正解决了数据库本身的安全防护问题,虽然两者都是为访问行为的识别与管控而生,但是面对数据库层面的安全防护,显然数据库防火墙技高一筹。
他的独特标签:对数据库通讯协议的准确解析能力
对数据库通讯协议的解析,可以说数据库防火墙最闪耀的标签。这一点有多重要?我们用三个场景来说明:
1. 面对外部黑客攻击
对于外部黑客利用web应用漏洞进行的sql注入,或以web应用服务器为跳板,利用 数据库自身漏洞进行的攻击行为,由于无法解析数据库通讯协议,对于此类攻击行为网络防火墙无法识别和阻断;另一方面,不具有虚拟补丁功能的网络防护墙同样无法防御对于数据库自身漏洞发起的攻击行为。
2. 面对内部人员访问行为
对于用户内部的系统维护人员、外包人员、开发人员,拥有直接访问数据库的权限,对于内部人员的高危操作,网络防火墙无法识别,只能无奈放行。而数据库防火墙基于精准的sql语句解析,能够准确识别内部人员的风险操作,通过限定更新和删除影响行、限定无where的更新和删除操作、限定drop、truncate等手段进行风险行为识别和阻断,避免由内部人员高危操作导致的数据安全风险。
3、面对数据泄露风险
黑客、开发人员可以通过应用批量下载数据,内部维护人员可以远程或本地批量导出敏感数据。这是当前数据泄露事件的两大成因,只能识别ip与端口号的网络防火墙无计可施,而数据库防火墙则准确至数据库访问账号及访问行数的控制,犀利识别数据库风险操作。
完美的加分项:全面的事后追踪和审计能力
除了最核心的数据库通讯协议解析能力,更全面的事后追踪和审计能力为数据库防火墙增色不少。当用户面临内部人员数据窃取及泄露行为,事后的全面追踪与审计就显得尤为重要。网络防火墙的审计能力是基于对网络层的数据流量统计和记录,而数据库防火墙提供真正对数据库访问行为的记录,对风险行为进行的多种方式告警,一步到位,让泄露者无所遁形。
我们之所以把网络防火墙比作数据库防火墙的父辈,除了两者在基本功能上的共通点,好比是血缘上的类同,另一方面,从网络层纵深至数据库层,父子间对于核心数据更深层的安全防护,更像是一种家族使命的继承。数据库防火墙的出现,开启了数据库安全主动防御的时代,当我们的目光从网络边界触达核心数据库,随着网络安全家族的不断扩充,整个防护体系逐渐完善,面对未知的威胁,有他们在,我们敢于面对。
父与子的故事说到这儿,下一期我们来介绍另一位家族成员,数据库防火墙的堂兄——web防火墙,敬请期待吧。
试用申请