4000 258 365
用户名:
密码:
忘记密码? 尚未注册?
邮箱地址:
密码:
确认密码:
手机:
单位:
注册

产品描述

安华金和数据库防火墙系统(简称DBFirewall),是一款针对应用侧异常数据访问的数据库安全防护产品。

DBFirewall采用主动防御机制,通过学习期行为建模,预定义风险策略;并结合数据库虚拟补丁、注入规则和应用关联防护机制,实现数据库的访问行为控制、高危风险阻断和可疑行为审计。

dbf_1.jpg

产品价值

dbf_2.jpg

  防止外部黑客攻击

威胁:黑客利用Web应用漏洞,进行SQL注入,或以Web应用服务器为跳板,利用数据库自身漏洞进行攻击和侵入。

防护:通过虚拟补丁技术捕获和阻断漏洞攻击行为,通过SQL注入特征库捕获和阻断SQL注入行为。

防止内部高危操作

威胁:系统维护人员、外包人员、开发人员等,拥有直接访问数据库的权限,有意无意的高危操作将对数据造成破坏。

防护:通过限制系统表和敏感对象的访问权限、限定SQL更新和删除操作的影响行、限定No Where语句更新和删除操作、限定droptruncate等高危操作,以避免大规模损失。

防止应用违规操作

威胁:业务操作人员和开发人员,通过应用系统非法登录数据库,并执行违规操作,篡改或盗取敏感数据。

防护:通过应用关联识别,捕获应用账号和应用IP等信息,结合风险行为管控机制,实现应用关联防护,阻断非法的应用登陆和操作行为。

防止敏感数据泄漏

威胁:黑客、开发人员通过应用批量下载敏感数据,内部维护人员远程或本地批量导出敏感数据。

防护:基于字段级/关联设置,建立敏感数据组,限定敏感数据的访问时间、地址和账户信息,并针对高危操作执行业务阻断和语句拦截。

产品优势

全面的入侵防御技术

提供业界最为全面的数据库攻击行为检测和阻断技术:

虚拟补丁技术:针对CVE公布的数据库漏洞,提供特征检测技术。

高危访问控制技术:提供对数据库用户的登录、操作行为控制,能够根据地点、时间、用户、操作类型、对象等特征定义高危访问行为。

SQL注入禁止技术:提供SQL注入特征库

返回行超标禁止技术:提供对敏感表的返回行数控制。

SQL黑名单技术:提供对非法SQL的语法抽象描述。

业务连续性保障能力

DBFirewall支持多种网络部署模式,并不断完善高可用容灾机制,以增强数据库业务连续性保持能力,并在金融、互联网和物流等大型应用场景得到验证。

n  多层bypass能力

支持硬件断电bypass和软件异常bypass能力,支持手动bypass功能,保障在应急情况下,随时绕过网络避免异常阻断。

n  网络三通

提供三通模式,保障在流量异常情况下,实现业务系统流量放行,以保障异常高压力下的业务连续性。

n  双机部署模式

产品主备、双活模式继承网络拓扑结构,并通过网络协议或HA跳线进行主备间探测与切换;采用会话同步、策略同步机制,保障多设备间的一致性。

系统支持与F5等负载均衡设备的联动。

高端应用场景支撑

为适应运营商、金融等高端应用场景,DBFirewall提供服务器架构的设备,后台基于多进程并行处理机制,实现高并发、高流量下的数据库安全防护。

n  高效的协议解析

n  大并发会话处理

n  网络透传预警机制


功能特性

dbf_3.jpg

支持数据库类型

OracleSQLServerDB2InformixSybaseCache等国外主流数据库

MySQLPostgreSQL等开源数据库

达梦、GBase、金仓、Oscar等国内主流数据库

风险行为管控

口令攻击:限定客户端、账户的失败登录频次。

访问规则:针对应用端、客户端及时间元素,限定账户的非法访问行为。

操作规则:针对高危语句操作、SQL注入、批量数据篡改和大规模数据泄露等风险行为防护。

漏洞防护:提供虚拟补丁功能防止数据库漏洞攻击行为。

频次拦截:提供周期内频次操作的防护策略。

应用关联防护

基于应用端插件部署,关联应用层的访问和数据库层的访问操作请求,可以追溯到应用层的原始访问者及请求信息,实现精确关联匹配。基于捕获到的应用端IP和账号信息,可引用到安全防护策略,结合其他策略规则,建立应用关联防护体系。

敏感数据防护

可针对数据库字段设置规则,并基于/关系的灵活排列组合,建立敏感数据组。针对不同种类的数据库结构,完善敏感对象的操作规则。例如OracleSQLServer数据库,可针对数据库名称、数据库实例、Schema等不同层级,进行深入解析和防护规则设置。

虚拟补丁技术

CVE已公布2000+数据库安全漏洞,入侵者可利用漏洞进行数据库攻击。基于数据库厂商提供的漏洞补丁进行修复,在升级过程中存在稳定性隐患,企业也很难抽调资源及时更新;

DBFirewall提供虚拟补丁防护机制,可修补的数据库漏洞包括:缓冲区溢出、权限提升、拒绝服务攻击等20多类;功能覆盖多种数据库,可提供400个以上的默认补丁,并针对国内主流漏洞检测工具的扫描进行有效的应对。

黑白名单支持

DBFirewal通过学习模式以及SQL语法分析构建动态模型,形成SQL白名单和SQL黑名单,对符合SQL白名单的语句放行,对符合SQL黑名单特征的语句阻断。

阻断与拦截

在会话阻断的基础上,提供语句拦截技术,仅针对产生风险的语句行为进行拦截,保持同一会话内其他语句的正常操作。

风险行为分析

聚焦于风险行为审计,可针对风险、语句、会话三个层级提供专业的统计、分析界面,并在此基础上进行关联查询,深入挖掘风险来源和风险行为模型,实现风险行为分析和问题追踪。

部署方式

串联模式

DBFirewall支持两种串联模式:

透明网桥模式: 在网络上物理串联接入DBFirewall,所有用户访问的网络流量均串联流经设备,并支持bypass容灾机制,通过透明网桥技术,客户端看到的数据库地址不变。

代理接入模式:并联接入DBFirewall设备,客户端逻辑连接防火墙设备地址,防火墙设备转发流量到数据库服务器;通过代理接入模式,网络拓扑结构不变。

dbf_4.jpg

双机部署模式

为提高串联模式下的安全性和高可用性,DBFirewall支持HA双机部署模式,实现系统异常情况下的主备切换,并基于会话同步和策略同步机制,实现双机模式下的系统信息交互。

dbf_5.jpg

旁路部署模式

DBFirewall设备不直接接入网络,而是通过TAPSPAN等技术将网络流量映射到防火墙设备;通过旁路部署模式既不改变网络拓扑,也不在应用链路上增加新的设备点。

dbf_6.jpg

 

虚拟化部署

支持虚拟环境部署,可适用于主流的私有云环境。可基于以下两种方式进行实时串联防御:

n  虚拟交换机串接

适用于数据库和应用在同一虚拟环境下,依赖虚拟交换机(VSwitch)搭建透明网桥,类似于传统防护产品的网络部署方式。

n  代理模式部署

适用于复杂的虚拟化网络环境,防火墙基于虚拟网卡设置代理IP,转发流量到数据库服务器,从而实现虚拟环境下的数据库安全防护。



北京安华金和科技有限公司 ©2015 版权所有 ICP备10053980号 京公网安备11010802010569号