在传统的网络安全防护手段中,网络防火墙的使用最为广泛,在数据库安全领域,防火墙的技术同样重要。但由于技术难度及对业务系统的速度影响,市场上成熟的数据库防火墙产品并不多,很多用户依然在使用IP/IDS等传统手段对数据库进行安全防护。
相对传统IPS/IDS的优势
主流IDS/IPS产品识别的依据通常是特征库。一些IDS/IPS厂商试图在其产品中增加数据库攻击特征指纹,并声称能保护数据库。但由于数据库服务器与其他类型服务器不同,是高度复杂的服务器,采用丰富的交互式语言和复杂协议。IDS/IPS如果试图采用同样机制将传统的处理方法照搬到数据库,显然是行不通的。
数据库防火墙的优势
比如SQL攻击,一般的文档会举例 OR’1’=’1’,一些声称拥有数据库攻击检测能力的IDS/IPS其实就是在Payload中寻找’1’=’1’的字符串,但是’2’=’2’呢?……这个列表可以说是无止尽的,也就是说IDS/IPS无法构建真正的能够涵盖数据库攻击的特征库。
对于数据库攻击来说,攻击特征是非常复杂和千变万化的,数据库防护墙是真正实现对数据库语言——SQL语句的精确解析,只有实现了细粒度的语句解析才能准确识别访问是否存在安全威胁。
SQL语法的精确解析是数据库安全防护手段与传统手段的根本差异,这一点在数据库防火墙中尤为重要。由于普遍的串联工作方式,解析结果的准确度及速度非常重要,这将直接影响一个一个业务系统的响应速度以及是否能够运作,不会被阻断安全的正常访问。目前安华金和的数据库防火墙已经在国家人口库、国家人社部、大型物流企业等关键系统中部署和正常运行,能够满足高数据量、高并发量下的业务系统访问的安全过滤。
在下文中我们将持续对专业数据库防火墙产品与其他防护手段进行对比,说明其在数据库安全领域的核心作用。
产品咨询:4000 258 365 
