安华金和数据库防火墙(DBFirewall).docx

安华金和数据库防火墙系统（DBFirewall）一. 产品概述安华金和数据库防火墙系统（简称DBFirewall），是一款基于数据库协议分析与控制技术的数据库安全防护系统。DBFirewall基于主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审计。二. 产品价值2.1 防止外部黑客攻击威胁：黑客利用Web应用漏洞，进行SQL注入；或以Web应用服务器为跳板，利用数据库自身漏洞攻击和侵入。防护：通过虚拟补丁技术捕获和阻断漏洞攻击行为，通过SQL注入特征库捕获和阻断SQL注入行为。2.2 防止内部高危操作威胁：系统维护人员、外包人员、开发人员等，拥有直接访问数据库的权限，有意无意的高危操作对数据造成破坏。防护：通过限定更新和删除影响行、限定无Where的更新和删除操作、限定drop、truncate等高危操作避免大规模损失。2.3 防止敏感数据泄漏威胁：黑客、开发人员可以通过应用批量下载敏感数据，内部维护人员远程或本地批量导出敏感数据。防护：限定数据查询和下载数量、限定敏感数据访问的用户、地点和时间。2.4 审计追踪非法行为威胁：业务人员在利益诱惑下，通过业务系统提供的功能完成对敏感信息的访问，进行信息的售卖和数据篡改。防护：提供对所有数据访问行为的记录，对风险行为进行Syslog、邮件、短信等方式的告警，提供事后追踪分析工具。三. 产品优势3.1 全面的入侵防御技术提供业界最为全面的数据库攻击行为检测和阻断技术： 虚拟补丁技术：针对CVE公布的漏洞库，提供漏洞特征检测技术。高危访问控制技术：提供对数据库用户的登录、操作行为，提供根据地点、时间、用户、操作类型、对象等特征定义高危访问行为。SQL注入禁止技术：提供SQL注入特征库。 返回行超标禁止技术：提供对敏感表的返回行数控制。SQL黑名单技术：提供对非法SQL的语法抽象描述。3.2 应用“零”误报技术对于IPS类产品最重要的是在保持“低漏报率”的同时维护“低误报率”；对于数据库而言这点更为关键，一点点“误报”可能就会造成重大业务影响。DBFirewall提供强大的应用行为描述方法，以对合法应用行为放行，将误报率降低为“零”。DBFirewall通过语法抽象描述不同类型的SQL语句，规避参数带来的多样化；通过应用学习捕获所有合法SQL的语法抽象，建立应用SQL白名单库。3.3 快速部署实施能力预定义策略模版：DBFirewall提供应用场景、维护场景、混合场景多种策略模版帮助用户快速建立安全策略。预定义风险特征库：通过预定义风险特征库快速建立风险阻断规则。多种运行模式：DBFirewall提供IPS、IDS运行模式，提供学习期、保护期两种运行周期，以帮助用户在防火墙建设的不同阶段平滑过渡。四. 功能特性【支持数据库类型】Oracle、SQLServer、DB2、Informix、Sybase、Cache等国外主流数据库;MySQL、PostgreSQL等开源数据库达梦、GBase、金仓、Oscar等国内主流数据库。【虚拟补丁】CVE上公布了2000多个数据库安全漏洞，这些漏洞给入侵者敞开了大门。数据库厂商会定期推出数据库漏洞补丁，由于数据库打补丁工作的复杂性和对应用稳定性的考虑，大多数企业无法及时更新补丁。DBFirewall提供了虚拟补丁功能，在数据库外的网络层创建了一个安全层，用户在无需补丁情况下，完成数据库漏洞防护。DBFirewall支持22类，460个以上虚拟补丁。【黑白名单支持】DBFirewall通过学习模式以及SQL语法分析构建动态模型，形成SQL白名单和SQL黑名单，对符合SQL白名单语句放行，对符合SQL黑名单特征语句阻断。【细粒度权限管理】DBFirewall对于数据库用户提供比DBMS系统更详细的虚拟权限控制。控制策略包括：用户+操作+对象+时间。在控制操作中增加了Update Nowhere、delete Nowhere等高危操作；控制规则中增加返回行数和影响行数控制。【SQL注入禁止】DBFirewall通过对SQL语句进行注入特征描述，完成对SQL注入行为的检测和阻断。系统提供缺省SQL注入特征库；系统提供定制化的扩展接口。【阻断和审计】阻断动作包括：中断会话和拦截语句。审计行为分为：普通审计和告警审计。告警通知包括：Syslog、SNMP、邮件和短信。【行为监控与分析】DBFirewall提供全面详细审计记录，告警审计和会话事件记录，并在此基础上实现了内容丰富的审计浏览、访问分析和问题追踪，提供实时访问统计图。DBFirewall通过对捕获的SQL语句进行精细SQL语法分析,并根据SQL行为特征和关键词特征进行自动分类，系统访问SQL语句有效“归类”到几百个类别范围内，完成审计结果的高精确和高可用分析。【部署模式】串联模式DBFirewall支持两种串联模式：透明网桥模式：在网络上物理串联接入DBFirewall设备，所有用户访问的网络流量都串联流经设备；通过透明网桥技术，客户端看到的数据库地址不变。代理接入模式：网络上并联接入DBFirewall设备，客户端逻辑连接防火墙设备地址，防火墙设备转发流量到数