亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

在已經(jīng)發(fā)布的等保2.0標(biāo)準(zhǔn)中，作為實(shí)現(xiàn)強(qiáng)制訪問(wèn)控制的數(shù)據(jù)庫(kù)防御工事，數(shù)據(jù)庫(kù)防火墻已被越來(lái)越多的用戶(hù)關(guān)注，應(yīng)用在關(guān)鍵系統(tǒng)的數(shù)據(jù)庫(kù)安全防護(hù)中，以保護(hù)核心數(shù)據(jù)資產(chǎn)安全。

數(shù)據(jù)庫(kù)防火墻不同于大家更為熟悉的數(shù)據(jù)庫(kù)審計(jì)，根本區(qū)別在于兩者防護(hù)原理有本質(zhì)區(qū)別，數(shù)據(jù)庫(kù)審計(jì)更像是攝像頭，旁路監(jiān)控?cái)?shù)據(jù)庫(kù)訪問(wèn)，發(fā)現(xiàn)威脅進(jìn)行告警，但不做實(shí)質(zhì)上的防御，實(shí)際上更偏向事后的追溯了。而數(shù)據(jù)庫(kù)防火墻則更為直接，可以通過(guò)直接串聯(lián)或旁路部署的方式，對(duì)應(yīng)用與數(shù)據(jù)庫(kù)之間的訪問(wèn)進(jìn)行阻斷攔截等操作 ，它如同門(mén)衛(wèi)，可以直接將可疑人員擋在門(mén)外，攔截阻斷安全威脅，起到事中防護(hù)的作用。

不過(guò)，最近也有聽(tīng)到用戶(hù)疑問(wèn)，數(shù)據(jù)庫(kù)防火墻串聯(lián)部署和旁路部署有何區(qū)別？當(dāng)希望既實(shí)現(xiàn)實(shí)時(shí)阻斷，又不影響業(yè)務(wù)訪問(wèn)時(shí)，兩種部署方式如何選擇？

今天，我們就針對(duì)兩種不同部署方式的威脅防御原理進(jìn)行簡(jiǎn)單分析，利于用戶(hù)在選擇產(chǎn)品時(shí)能夠更好的選擇。

兩種部署方式技術(shù)原理分析

事實(shí)上，兩種部署方式的選擇更多取決于你的數(shù)據(jù)庫(kù)流量大小。

串聯(lián)模式部署在應(yīng)用系統(tǒng)與數(shù)據(jù)庫(kù)之間，所有SQL語(yǔ)句必須經(jīng)過(guò)數(shù)據(jù)庫(kù)防火墻的審核后才能到達(dá)數(shù)據(jù)庫(kù)，發(fā)起訪問(wèn)、操作。基于漏洞特征庫(kù)、SQL注入特征庫(kù)、黑白名單等的細(xì)粒度安全策略制定，結(jié)合訪問(wèn)源、訪問(wèn)對(duì)象、訪問(wèn)行為、影響行數(shù)等精確解析結(jié)果，識(shí)別惡意數(shù)據(jù)庫(kù)指令，及時(shí)采取中斷會(huì)話(huà)或精確攔截語(yǔ)句的防御行為。

串聯(lián)部署最大的風(fēng)險(xiǎn)在于不能出現(xiàn)誤判斷，影響正常語(yǔ)句通過(guò)。這就要求數(shù)據(jù)庫(kù)防火墻的語(yǔ)句解析能力足夠精準(zhǔn)，并且能夠建立非常完善的行為模型，在發(fā)現(xiàn)危險(xiǎn)語(yǔ)句時(shí)，能夠在不中斷會(huì)話(huà)的基礎(chǔ)上，準(zhǔn)確攔截風(fēng)險(xiǎn)語(yǔ)句，放行正常訪問(wèn)。

因此，要想真正發(fā)揮防護(hù)效果，數(shù)據(jù)庫(kù)防火墻必須串聯(lián)在數(shù)據(jù)庫(kù)的前端，可以是物理的（透明串接）或邏輯的（代理）串聯(lián)。

至于旁路部署，目前大多數(shù)廠商是通過(guò)發(fā)送reset（重置）命令進(jìn)行重置會(huì)話(huà)，但這樣的部署方式適用于較低流量情況下。如果面對(duì)高壓力場(chǎng)景，每秒鐘通過(guò)的SQL語(yǔ)句上千上萬(wàn)條，這種旁路分析識(shí)別后再發(fā)出阻斷請(qǐng)求，勢(shì)必出現(xiàn)延遲，當(dāng)數(shù)據(jù)庫(kù)防火墻發(fā)現(xiàn)風(fēng)險(xiǎn)操作時(shí)，數(shù)據(jù)庫(kù)早已執(zhí)行完成，而此時(shí)發(fā)出阻斷要求，基本上攔截的是危險(xiǎn)語(yǔ)句之后的正常訪問(wèn)了，反倒影響了正常業(yè)務(wù)訪問(wèn)。

無(wú)論從政策角度還是用戶(hù)自身安全考慮來(lái)講，訪問(wèn)控制手段必須實(shí)現(xiàn)實(shí)時(shí)阻斷，等保2.0會(huì)對(duì)這方面增加要求，也體現(xiàn)了這一技術(shù)手段對(duì)于數(shù)據(jù)安全的必要性。

如何識(shí)別可以放心使用的數(shù)據(jù)庫(kù)防火墻？資質(zhì)認(rèn)證和案例參考

判斷數(shù)據(jù)庫(kù)防火墻產(chǎn)品的可靠性，有2個(gè)簡(jiǎn)單的方式：資質(zhì)認(rèn)證和案例參考。

我們?cè)谶x擇數(shù)據(jù)庫(kù)防火墻產(chǎn)品時(shí)，可以參考相關(guān)產(chǎn)品具備的資質(zhì)專(zhuān)業(yè)度，“安全網(wǎng)關(guān)”類(lèi)或“審計(jì)類(lèi)”的產(chǎn)品資質(zhì)更適用于網(wǎng)絡(luò)層的安全產(chǎn)品，如果能夠具備“數(shù)據(jù)庫(kù)防護(hù)產(chǎn)品”資質(zhì)，說(shuō)明數(shù)據(jù)庫(kù)防火墻的專(zhuān)業(yè)性已經(jīng)得到專(zhuān)業(yè)測(cè)評(píng)機(jī)構(gòu)的權(quán)威認(rèn)證，更加可靠。

案例方面，能夠經(jīng)得住超高流量下的數(shù)據(jù)庫(kù)訪問(wèn)控制，說(shuō)明這樣的產(chǎn)品具備精準(zhǔn)的協(xié)議解析與風(fēng)險(xiǎn)識(shí)別能力，并且能夠建立完善的行為模型和黑白名單，進(jìn)而實(shí)現(xiàn)精確攔截。安華金和數(shù)據(jù)庫(kù)防火墻曾在雙十一期間為上海某大型物流企業(yè)提供數(shù)據(jù)庫(kù)安全保障，應(yīng)對(duì)日均近3w條/秒的吞吐量，達(dá)到了精準(zhǔn)攔截的效果。

作者：安華金和