当前位置:产品展示 >> 数据安全
发布日期:2019-05-31 11:08:24 访问次数:189

数据库防火墙系统

  • 项目名称:DBFirewall
  • 产品型号:DBFirewall-B1000
  • 资源配置:8c/16GB/200GB
  • 部署形态:虚拟化/服务器
  产品描述

  安华金和数据库防火墙系统(简称DBFirewall),是一款针对应用侧异常数据访问的数据库安全防护产品。

  DBFirewall采用主动防御机制,通过学习期行为建模,预定义风险策略;并结合数据库虚拟补丁、注入规则和应用关联防护机制,实现数据库的访问行为控制、高危风险阻断和可疑行为审计。


 产品价值

    

  防止外部黑客攻击

  威胁:黑客利用Web应用漏洞,进行SQL注入,或以Web应用服务器为跳板,利用数据库自身漏洞进行攻击和侵入。

  防护:通过虚拟补丁技术捕获和阻断漏洞攻击行为,通过SQL注入特征库捕获和阻断SQL注入行为。

 防止内部高危操作

  威胁:系统维护人员、外包人员、开发人员等,拥有直接访问数据库的权限,有意无意的高危操作将对数据造成破坏。

  防护:通过限制系统表和敏感对象的访问权限、限定SQL更新和删除操作的影响行、限定No Where语句更新和删除操作、限定drop、truncate等高危操作,以避免大规模损失。

 防止应用违规操作

  威胁:业务操作人员和开发人员,通过应用系统非法登录数据库,并执行违规操作,篡改或盗取敏感数据。

  防护:通过应用关联识别,捕获应用账号和应用IP等信息,结合风险行为管控机制,实现应用关联防护,阻断非法的应用登陆和操作行为。

  防止敏感数据泄漏

  威胁:黑客、开发人员通过应用批量下载敏感数据,内部维护人员远程或本地批量导出敏感数据。

  防护:基于字段级“与/或”关联设置,建立敏感数据组,限定敏感数据的访问时间、地址和账户信息,并针对高危操作执行业务阻断和语句拦截。

  产品优势

  全面的入侵防御技术

  提供全面的数据库攻击行为检测和阻断技术:

  虚拟补丁技术:针对CVE公布的数据库漏洞,提供特征检测技术。

  高危访问控制技术:提供对数据库用户的登录、操作行为控制,能够根据地点、时间、用户、操作类型、对象等特征定义高危访问行为。

  SQL注入禁止技术:提供SQL注入特征库。

  返回行超标禁止技术:提供对敏感表的返回行数控制。

  SQL黑名单技术:提供对非法SQL的语法抽象描述。

  业务连续性保障能力

  DBFirewall支持多种网络部署模式,并不断完善“高可用容灾”机制,以增强数据库业务连续性保持能力,并在金融、互联网和物流等大型应用场景得到验证。

  1、多层bypass能力

  支持硬件断电bypass和软件异常bypass能力,支持手动bypass功能,保障在应急情况下,随时绕过网络避免异常阻断。

  2、网络三通


  提供三通模式,保障在流量异常情况下,实现业务系统流量放行,以保障异常高压力下的业务连续性。

  3、双机部署模式

  产品主备、双活模式继承网络拓扑结构,并通过网络协议或HA跳线进行主备间探测与切换;采用会话同步、策略同步机制,保障多设备间的一致性。

  系统支持与F5等负载均衡设备的联动。

  高端应用场景支撑

  为适应运营商、金融等高端应用场景,DBFirewall提供服务器架构的设备,后台基于多进程并行处理机制,实现高并发、高流量下的数据库安全防护。

  1、高效的协议解析

  2、大并发会话处理

  3、网络透传预警机制

  功能特性

    

 支持数据库类型

  Oracle、SQLServer、DB2、Informix、Sybase、Cache等国外主流数据库

  MySQL、PostgreSQL等开源数据库

  达梦、GBase、金仓、Oscar等国内主流数据库

  风险行为管控

  口令攻击:限定客户端、账户的失败登录频次。

  访问规则:针对应用端、客户端及时间元素,限定账户的非法访问行为。

  操作规则:针对高危语句操作、SQL注入、批量数据篡改和大规模数据泄露等风险行为防护。

  漏洞防护:提供虚拟补丁功能防止数据库漏洞攻击行为。

  频次拦截:提供周期内频次操作的防护策略。

  应用关联防护

  基于应用端插件部署,关联应用层的访问和数据库层的访问操作请求,可以追溯到应用层的原始访问者及请求信息,实现精确关联匹配。基于捕获到的应用端IP和账号信息,可引用到安全防护策略,结合其他策略规则,建立应用关联防护体系。

  敏感数据防护

  可针对数据库字段设置规则,并基于“与/或”关系的灵活排列组合,建立敏感数据组。针对不同种类的数据库结构,完善敏感对象的操作规则。例如Oracle、SQLServer数据库,可针对数据库名称、数据库实例、Schema等不同层级,进行深入解析和防护规则设置。

  虚拟补丁技术

  CVE已公布2000+数据库安全漏洞,入侵者可利用漏洞进行数据库攻击。基于数据库厂商提供的漏洞补丁进行修复,在升级过程中存在稳定性隐患,企业也很难抽调资源及时更新;

  DBFirewall提供虚拟补丁防护机制,可修补的数据库漏洞包括:缓冲区溢出、权限提升、拒绝服务攻击等20多类;功能覆盖多种数据库,可提供400个以上的默认补丁,并针对国内主流漏洞检测工具的扫描进行有效的应对。

  黑白名单支持

  DBFirewal通过学习模式以及SQL语法分析构建动态模型,形成SQL白名单和SQL黑名单,对符合SQL白名单的语句放行,对符合SQL黑名单特征的语句阻断。

 阻断与拦截

  在会话阻断的基础上,提供“语句拦截”技术,仅针对产生风险的语句行为进行拦截,保持同一会话内其他语句的正常操作。

  风险行为分析

  聚焦于风险行为审计,可针对风险、语句、会话三个层级提供专业的统计、分析界面,并在此基础上进行关联查询,深入挖掘风险来源和风险行为模型,实现风险行为分析和问题追踪。

 部署方式

  1、串联模式

  DBFirewall支持两种串联模式:

  透明网桥模式:在网络上物理串联接入DBFirewall,所有用户访问的网络流量均串联流经设备,并支持bypass容灾机制,通过透明网桥技术,客户端看到的数据库地址不变。

  代理接入模式:并联接入DBFirewall设备,客户端逻辑连接防火墙设备地址,防火墙设备转发流量到数据库服务器;通过代理接入模式,网络拓扑结构不变。

    

 双机部署模式

  为提高串联模式下的安全性和高可用性,DBFirewall支持HA双机部署模式,实现系统异常情况下的主备切换,并基于会话同步和策略同步机制,实现双机模式下的系统信息交互。

    


 旁路部署模式

  DBFirewall设备不直接接入网络,而是通过TAP、SPAN等技术将网络流量映射到防火墙设备;通过旁路部署模式既不改变网络拓扑,也不在应用链路上增加新的设备点。

    

 虚拟化部署

  支持虚拟环境部署,可适用于主流的私有云环境。可基于以下两种方式进行实时串联防御:

  1、虚拟交换机串接

  适用于数据库和应用在同一虚拟环境下,依赖虚拟交换机(VSwitch)搭建透明网桥,类似于传统防护产品的网络部署方式。

  2、代理模式部署


  适用于复杂的虚拟化网络环境,防火墙基于虚拟网卡设置代理IP,转发流量到数据库服务器,从而实现虚拟环境下的数据库安全防护。


上一文章:数据库加密系统

下一文章:数据库漏洞验证系统

工作时间

早9:00 - 晚18:00

周六日休息

0731-85357679