数据库防火墙系统

产品概述

中安威士数据库防火墙（简称VS-FW），是由中安威士（北京）科技有限公司开发具有完全自主知识产权的安全防护产品。该产品通过实时分析用户对数据库的访问行为，自动建立合法访问数据库的特征模型。同时，通过独立的授权管理机制和虚拟补丁等防护手段，及时发现和阻断SQL注入攻击和违反企业规范的数据库访问请求。主要功能包括屏蔽真实数据库、多因子认证、自动建模、攻击检测、访问控制和审计等。该产品具有高性能、大存储和报表丰富等优势，帮助企业有效保护核心数据，保障业务运营安全，并快速的满足合规要求。

产品功能

屏蔽直接访问数据库的通道

数据库防火墙部署于数据库服务器和应用服务器之间，屏蔽直接访问数据库的通道，防止数据库隐通道对数据库的攻击，见下图。

多因子认证

基于IP地址、MAC地址、用户、应用程序、时间等因子对访问者进行身份认证，形成多因子认证，弥补单一口令认证方式安全性的不足。应用程序对数据库的访问，必须经过数据库防火墙和数据库自身两层身份认证。

攻击检测和保护

实时检测用户对数据库进行SQL注入和缓冲区溢出的攻击，并报警或者阻止攻击行为，同时详细记录攻击操作发生的时间、来源IP、用户名、攻击代码等信息。

行为基线—自动建立访问模型

系统将自动学习每一个应用的访问语句，进行模式提取和分类，自动生成行为特征模型，并可以对学习结果进行编辑。系统通过检查访问行为与基线的偏差来识别风险。

连接监控

实时监控数据库的连接信息、风险状态等。

虚拟补丁

数据库系统是个复杂的系统，自身存在很多漏洞，容易被攻击者利用从而导致数据泄漏或致使系统瘫痪。由于需要保证业务连续性等多种原因，用户通常不会及时对数据库进行补丁安装。中安威士数据库防火墙通过内置的多种漏洞特征库防止已知漏洞被利用，并有效降低数据库被0day攻击的风险。

安全审计

系统能够记录对数据库服务器的访问情况，包括用户名、程序名、IP地址、请求的数据库、连接断开的时间、风险等信息，并提供灵活的查询分析功能。

报表

提供丰富的报表模板，包括各种审计报表、安全趋势等。

数据库审计探针

本系统作为数据库防火墙的同时，还可以作为数据库审计系统的数据获取设备，将通信内容发送到数据库审计系统中，在不影响防火墙性能的前提下，实现完整、专业的数据库审计。

特性优势

1.技术优势

全自主技术体系：形成高技术壁垒

高速分析技术：特殊数据包分析和转发技术，实现高效的网络通信内容过滤

多线程技术和缓存技术，支持高并发连接

基于BigTable和MapReduce的存储：单机环境高效、海量存储

基于倒排索引的检索：高效、灵活日志检索、报表生成

2.高性能

连续处理能力：7000~4万SQL/s

索速度:

日志存储能力: 30亿 ~100亿SQL/TB

3.高可用性

基于硬件的Bypass功能，防止单点失败

支持双机热备功能，保证连续服务能力

支持自动日志备份

支持SNMP、Syslog日志外发

支持时间同步

......

4.高安全性

典型部署

透明网桥模式

将数据库防火墙直连在数据库之前，所有对数据库的访问流量都流经该设备进行过滤和转发，防火墙不设IP地址，客户端看到的数据库地址不变。

直路代理模式

将数据库防火墙直连在数据库之前，防火墙具有独立IP地址，客户端逻辑连接防火墙设备地址，所有对数据库的访问流量都流经该设备进行过滤和转发。

单臂代理模式

将数据库防火墙接入数据库所在网络，客户端逻辑连接防火墙设备地址，所有对数据库的访问流量都流经该设备进行过滤和转发。

数据库审计和防火墙：混合部署

客户价值

》保护核心数据资产，防止内外部攻击造成的数据泄密

防止外部黑客攻击，窃取数据：SQL注入、缓冲区溢出、权限盗用等

防止内部人员泄密，违规备份、权限滥用、误操作等

防止运维人员和第三方人员违规访问敏感数据

》安全性与可用性的完美结合，对合法应用和用户透明

智能学习，自动生成安全基线，无需手动复杂配置规则

高稳定性与高性能，支持双机热备，保障正常业务的连续性

不需要对应用程序作任何修改，不改变应用程序的使用环境

对于授权用户的数据库操作与管理等过程无需改变

客户案例

案例1：数据库防火墙防止社保信息泄露

背景介绍和需求

2015年5月，包括重庆、上海、山西在内的三十多个省市卫生和社保系统出现大量高危漏洞，数千万用户的社保信息可能因此被泄漏。补天漏洞响应平台安全专家表示，社保系统包括居民身份证、社保、薪酬等敏感信息。一旦这些信息泄露，不仅是个人隐私全无，还会被犯罪分子利用来复制身份证、盗办信用卡、盗刷信用卡等刑事犯罪和经济犯罪。因此亟需相应的解决方案对该信息进行保护。

解决方案

在数据库之前以透明网关模式部署中安威士数据库防火墙，开启学习模式，经过1天左右时间的学习，建立其应用对数据库访问的行为基线，进而进入工作模式，并开启阻断功能。所有对数据库的SQL注入攻击都会偏离基线，而被阻止，从而从根本上阻止了SQL注入。

有益结果

某省社保系统通过上述解决方案，有效地抵御了各类SQL注入攻击，提高了系统整体的防御能力，维护和提升了社保机构的形象和公信力。完善的日志还能协助安全事件取证及事后追溯，进一步的防止敏感信息的丢失和泄漏。

案例2：数据库防火墙保护互联网金融数据库免受攻击

背景介绍和需求

互联网金融企业面临着严重的敏感数据安全问题。其客户信息（姓名、身份证、地址、电话、邮件等）、交易信息（交易时间、额度、盈亏情况）等敏感数据具有很高的价值，常常成为黑客攻击的目标。另外，企业内部数据分析人员也可能在利益的驱使下执行各种偏离业务的非法查询和分析语句。从而，亟需对数据库的攻击行为进行发现和阻断，并详细记录内部人员的访问行为，便于取证

解决方案

经过论证，在核心数据库集群前部署了中安威士数据库防火墙。采用直连代理方式，将系统正确的目标数据库地址修改为防火墙地址。开启学习功能，学习到的语句模式经过人工两次鉴别后作为系统的白名单。对于前端网站系统产生的偏离白名单的访问行为进行阻断，并产生报警。对于内部的访问偏离行为，进行详细记录，由人工判断是否属于违规访问。

有益结果

某P2P公司通过上述解决方案，有效抵御了各类SQL注入和权限滥用攻击，显著提升了数据安全防护水平。同时，能够轻松满足来自监管部门的合规性检查，也消除了客户对隐私安全的顾虑，从而促进了业务的开展。