数据库防火墙的正确打开方式

在已经发布的等保2.0标准中，作为实现强制访问控制的数据库防御工事，数据库防火墙已被越来越多的用户关注，应用在关键系统的数据库安全防护中，以保护核心数据资产安全。

数据库防火墙不同于大家更为熟悉的数据库审计，根本区别在于两者防护原理有本质区别，数据库审计更像是摄像头，旁路监控数据库访问，发现威胁进行告警，但不做实质上的防御，实际上更偏向事后的追溯了。而数据库防火墙则更为直接，可以通过直接串联或旁路部署的方式，对应用与数据库之间的访问进行阻断拦截等操作 ，它如同门卫，可以直接将可疑人员挡在门外，拦截阻断安全威胁，起到事中防护的作用。

不过，最近也有听到用户疑问，数据库防火墙串联部署和旁路部署有何区别？当希望既实现实时阻断，又不影响业务访问时，两种部署方式如何选择？

今天，我们就针对两种不同部署方式的威胁防御原理进行简单分析，利于用户在选择产品时能够更好的选择。

两种部署方式技术原理分析

事实上，两种部署方式的选择更多取决于你的数据库流量大小。

串联模式部署在应用系统与数据库之间，所有SQL语句必须经过数据库防火墙的审核后才能到达数据库，发起访问、操作。基于漏洞特征库、SQL注入特征库、黑白名单等的细粒度安全策略制定，结合访问源、访问对象、访问行为、影响行数等精确解析结果，识别恶意数据库指令，及时采取中断会话或精确拦截语句的防御行为。

串联部署最大的风险在于不能出现误判断，影响正常语句通过。这就要求数据库防火墙的语句解析能力足够精准，并且能够建立非常完善的行为模型，在发现危险语句时，能够在不中断会话的基础上，准确拦截风险语句，放行正常访问。

因此，要想真正发挥防护效果，数据库防火墙必须串联在数据库的前端，可以是物理的（透明串接）或逻辑的（代理）串联。

至于旁路部署，目前大多数厂商是通过发送reset（重置）命令进行重置会话，但这样的部署方式适用于较低流量情况下。如果面对高压力场景，每秒钟通过的SQL语句上千上万条，这种旁路分析识别后再发出阻断请求，势必出现延迟，当数据库防火墙发现风险操作时，数据库早已执行完成，而此时发出阻断要求，基本上拦截的是危险语句之后的正常访问了，反倒影响了正常业务访问。

无论从政策角度还是用户自身安全考虑来讲，访问控制手段必须实现实时阻断，等保2.0会对这方面增加要求，也体现了这一技术手段对于数据安全的必要性。

如何识别可以放心使用的数据库防火墙？资质认证和案例参考

判断数据库防火墙产品的可靠性，有2个简单的方式：资质认证和案例参考。

我们在选择数据库防火墙产品时，可以参考相关产品具备的资质专业度，“安全网关”类或“审计类”的产品资质更适用于网络层的安全产品，如果能够具备“数据库防护产品”资质，说明数据库防火墙的专业性已经得到专业测评机构的权威认证，更加可靠。

案例方面，能够经得住超高流量下的数据库访问控制，说明这样的产品具备精准的协议解析与风险识别能力，并且能够建立完善的行为模型和黑白名单，进而实现精确拦截。安华金和数据库防火墙曾在双十一期间为上海某大型物流企业提供数据库安全保障，应对日均近3w条/秒的吞吐量，达到了精准拦截的效果。

作者：安华金和