让数据使用更安全

产品概述

安华金和数据库防火墙系统（简称DPS），是一款针对应用侧异常数据访问的数据库安全防护产品。

DPS采用主动防御机制，通过虚拟补丁技术捕获和阻断漏洞攻击行为，通过SQL注入特征库捕获和阻断SQL注入行为，实现数据库的访问行为控制、高危风险阻断和可疑行为审计DPS通过SQL协议分析，根据预定义的禁止和许可策略让合法的SQL操作通过，阻断非法违规操作，形成数据库的外围防御圈,实现SQL危险操作的主动预防、实时审计。
对于IPS类产品最重要的是在保持“低漏报率”的同时维护“低误报率”；对于数据库而言这点更为关键，一点点“误报”可能就会造成重大业务影响。 DPS提供强大的应用行为描述方法，以对合法应用行为放行，将误报率降低为“零”。 SQL白名单：DPS通过语法抽象描述不同类型的SQL语句，规避参数带来的多样化；通过应用学习捕获所有合法SQL的语法抽象，建立应用SQL白名单库。
DPS面对来自于外部的入侵行为，提供防SQL注入禁止和数据库虚拟补订包功能；通过虚拟补丁包，数据库系统不用升级、打补丁，即可完成对主要数据库漏洞的防控。
DPS支持Oracle、SQL Server 、MySQL等国际主流数据库产品。能够在不影响数据库原有性能、无需应用进行改造的前提下，提供可靠数据库安全保护服务。

产品功能

应用‘零’误报技术、快速部署实施能力、全面的入侵防御技术、审计追踪非法行为、虚拟补丁技术、返回行超标禁止技术。
防止外部黑客攻击 威胁：黑客利用Web应用漏洞，进行SQL注入；或以Web应用服务器为跳板，利用数据库自身漏洞攻击和侵入。 防护：通过虚拟补丁技术捕获和阻断漏洞攻击行为，通过SQL注入特征库捕获和阻断SQL注入行为。
 防止内部高危操作 威胁：系统维护人员、外包人员、开发人员等，拥有直接访问数据库的权限，有意无意的高危操作对数据造成破坏。 防护：通过限定更新和删除影响行、限定无Where的更新和删除操作、限定drop、truncate等高危操作避免大规模损失。
 防止敏感数据泄漏 威胁：黑客、开发人员可以通过应用批量下载敏感数据，内部维护人员远程或本地批量导出敏感数据。 防护：限定数据查询和下载数量、限定敏感数据访问的用户、地点和时间。
 审计追踪非法行为 威胁：业务人员在第三方利益诱惑下，通过业务系统提供的功能完成对敏感信息的访问，进行信息的售卖和数据篡改。 防护：提供对所有数据访问行为的记录，对风险行为进行SysLog、邮件、短信等方式的告警，提供事后追踪分析工具

产品部署和适用场景

透明网桥模式：在网络上物理串联接入DPS设备，所有用户访问的网络流量都串联流经设备，通过透明网桥技术，客户端看到的数据库地址不变。 代理接入模式：网络上并联接入DPS设备，客户端逻辑连接防火墙设备地址，防火墙设备转发流量到数据库服务器。 适用场景： 场景1: 防止外部黑客通过互联网业务系统侵入数据库，进行数据窃取和数据破坏；对非法或危险行为进行实时拦截 场景2：对内部人员进行控制，包括：开发人员（本公司&外包）和DBA可以实时地监控所有对数据库的访问 在旁路部署模式DPS设备不直接接入网络，而是通过TAP、SPAN等技术将网络流量映射到防火墙设备；DPS对数据库流量进行审计和告警。 适用于高吞吐量、性能高度敏感业务系统（如电信计费系统），需要持续监控系统的访问行为和安全事件的事后分析。 DPS支持在一台数据库防火墙设备上同时进行串联和旁路两种接入模式，对不同的数据库实例支持IPS和IDS两种运行模式。
在一个大型企业环境下，根据不同的数据库安全需要，可以接入多台DPS设备，不同的设备对应不同的安全需求，实现不同的安全策略。根据不同的安全设备接入方式和不同的应用策略，DPS可以有如下的产品应用形式：1、作为数据库审计产品，提供全面数据库审计能力，符合等保三级需求。2、作为数据库入侵防御产品，接入在应用服务器和数据库服务器之间，防止外部黑客入侵。3、作为数据库运维管控产品，内部数据库运维接口，防止运维人员高危操作和泄漏敏感数据。4、作为内外网隔离装置，替代传统防火墙、IDS、IPS产品，实现唯一内网接入通道——安全数据库通讯。