网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　数据库防火墙进行数据库防护的过程中，除了利用数据通讯协议解析的信息设置相应的风险拦截和违规sql操作预定义策略以外，常用的防护方式也包括通过学习模式以及SQL语法分析构建动态模型，形成SQL白名单和SQL黑名单，对符合SQL白名单语句放行，对符合SQL黑名单特征语句阻断。

　　安华金和数据库防火墙除了通过制定黑白名单和相应的策略规则之外，配合利用禁止，许可以及禁止+许可的混合模式规则对数据库进行策略设置，从而对数据库进行防护。

　　“禁止规则”负责定义系统需要阻止的危险数据库访问行为，所有被“禁止规则”命中的行为将被阻断，其余的行为将被放行。

　　“许可规则”负责定义应用系统的访问行为和维护工作的访问行为，通过“许可规则”使这些行为在被“禁止规则”命中前被放行。

　　“优先禁止规则”负责定义高危的数据库访问行为，这些策略要先于“许可规则”被判断，命中则阻断。

　　数据库漏洞防护

　　在数据库的防护过程中，除了对数据库登录限定，恶意sql操作拦截，以及批量数据删改进行安全防护以外。数据库自身存在的一些漏洞缺陷所引发的安全隐患，也在数据库防火墙的防护范围之内。对于这些风险行为进行周密而严谨的防护也是数据库防火墙价值体现的重点项。

　　之前在CVE上公开了2000多个数据库安全漏洞，这些漏洞给入侵者敞开了大门。数据库厂商会定期推出数据库漏洞补丁。数据库补丁虽然能在一定程度上弥补数据库漏洞，降低数据库遭受恶意攻击的风险度。但是数据库补丁也存在许多适用性问题。主要包括以下三点：

　　漏洞补丁针对性高，修补范围存在局限性，包括发布周期过长，存在数据泄露真空期

　　补丁修复过程中存在兼容性隐患

　　数据库补丁漏洞修补周期长，风险大，消耗大量资源

　　区别于oracle防火墙对虚拟补丁技术的空白，安华金和数据库防火墙和McAfee数据库防火墙功能点上都添加了数据库漏洞防护技术，以完善产品，力求达到对数据库的全面防护。

　　虚拟补丁技术可以在无需修补DBMS内核的情况下保护数据库。它在数据库外创建了一个安全层，从而不用打数据库厂商的补丁，也不需要停止服务和回归测试。通过监控所有数据库活动，并用监控数据与保护规则相比较，从而发现攻击企图。当比较结果与规则匹配时，就发出一个警报，并在指定的时间内终止可疑会话、操作程序或隔离用户，直到这个可疑的活动被审查通过。

　　安华金和数据库防火墙的漏洞防护技术——虚拟补丁通过控制受影响的应用程序的输入或输出，来改变或消除漏洞。是在数据库的前端进行控制或告警的一种技术。它是一种透明的对数据库进行保护的方法，不需要重启数据库或进行大范围应用系统的回归测试。

　　本文针对当前数据安全领域的现状与发展趋势向大家做了一些简要的论述，从数据库防火墙的崛起，从国际到国内市场，到Oracle，McAfee再到安华金和，有一点我们可以达成共识，数据库安全在信息安全中的整体价值地位逐步凸显。数据库防火墙作为针对数据库的安全的专项产品，作为维护数据库的堡垒屏障已经起到了不可或缺的作用。