在傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)手段中，網(wǎng)絡(luò)防火墻的使用最為廣泛，在數(shù)據(jù)庫安全領(lǐng)域，防火墻的技術(shù)同樣重要。但由于技術(shù)難度及對業(yè)務(wù)系統(tǒng)的速度影響，市場上成熟的數(shù)據(jù)庫防火墻產(chǎn)品并不多，很多用戶依然在使用IP/IDS等傳統(tǒng)手段對數(shù)據(jù)庫進(jìn)行安全防護(hù)。

相對傳統(tǒng)IPS/IDS的優(yōu)勢

主流IDS/IPS產(chǎn)品識別的依據(jù)通常是特征庫。一些IDS/IPS廠商試圖在其產(chǎn)品中增加數(shù)據(jù)庫攻擊特征指紋，并聲稱能保護(hù)數(shù)據(jù)庫。但由于數(shù)據(jù)庫服務(wù)器與其他類型服務(wù)器不同，是高度復(fù)雜的服務(wù)器，采用豐富的交互式語言和復(fù)雜協(xié)議。IDS/IPS如果試圖采用同樣機(jī)制將傳統(tǒng)的處理方法照搬到數(shù)據(jù)庫，顯然是行不通的。

數(shù)據(jù)庫防火墻的優(yōu)勢

比如SQL攻擊，一般的文檔會舉例 OR’1’=’1’,一些聲稱擁有數(shù)據(jù)庫攻擊檢測能力的IDS/IPS其實就是在Payload中尋找’1’=’1’的字符串，但是’2’=’2’呢？……這個列表可以說是無止盡的，也就是說IDS/IPS無法構(gòu)建真正的能夠涵蓋數(shù)據(jù)庫攻擊的特征庫。

對于數(shù)據(jù)庫攻擊來說，攻擊特征是非常復(fù)雜和千變?nèi)f化的，數(shù)據(jù)庫防護(hù)墻是真正實現(xiàn)對數(shù)據(jù)庫語言——SQL語句的精確解析，只有實現(xiàn)了細(xì)粒度的語句解析才能準(zhǔn)確識別訪問是否存在安全威脅。

SQL語法的精確解析是數(shù)據(jù)庫安全防護(hù)手段與傳統(tǒng)手段的根本差異，這一點在數(shù)據(jù)庫防火墻中尤為重要。由于普遍的串聯(lián)工作方式，解析結(jié)果的準(zhǔn)確度及速度非常重要，這將直接影響一個一個業(yè)務(wù)系統(tǒng)的響應(yīng)速度以及是否能夠運作，不會被阻斷安全的正常訪問。目前918搏天堂的數(shù)據(jù)庫防火墻已經(jīng)在國家人口庫、國家人社部、大型物流企業(yè)等關(guān)鍵系統(tǒng)中部署和正常運行，能夠滿足高數(shù)據(jù)量、高并發(fā)量下的業(yè)務(wù)系統(tǒng)訪問的安全過濾。

在下文中我們將持續(xù)對專業(yè)數(shù)據(jù)庫防火墻產(chǎn)品與其他防護(hù)手段進(jìn)行對比，說明其在數(shù)據(jù)庫安全領(lǐng)域的核心作用。