安華金和數據庫防火墻系統〔DBFirewall〕產品概述安華金和數據庫防火墻系統〔簡稱DBFirewall〕，是一款基于數據庫協議分析與控制技術的數據庫平安防護系統。DBFirewall基于主動防御機制，實現數據庫的訪問行為控制、危險操作阻斷、可疑行為審計。產品價值防止外部黑客攻擊威脅：黑客利用Web應用漏洞，進行SQL注入；或以Web應用效勞器為跳板，利用數據庫自身漏洞攻擊和侵入。防護：通過虛擬補丁技術捕獲和阻斷漏洞攻擊行為，通過SQL注入特征庫捕獲和阻斷SQL注入行為。防止內部高危操作威脅：系統維護人員、外包人員、開發人員等，擁有直接訪問數據庫的權限，有意無意的高危操作對數據造成破壞。防護：通過限定更新和刪除影響行、限定無Where的更新和刪除操作、限定drop、truncate等高危操作防止大規模損失。防止敏感數據泄漏威脅：黑客、開發人員可以通過應用批量下載敏感數據，內部維護人員遠程或本地批量導出敏感數據。防護：限定數據查詢和下載數量、限定敏感數據訪問的用戶、地點和時間。審計追蹤非法行為威脅：業務人員在利益誘惑下，通過業務系統提供的功能完成對敏感信息的訪問，進行信息的售賣和數據篡改。防護：提供對所有數據訪問行為的記錄，對風險行為進行Syslog、郵件、短信等方式的告警，提供事后追蹤分析工具。產品優勢全面的入侵防御技術提供業界最為全面的數據庫攻擊行為檢測和阻斷技術：虛擬補丁技術：針對CVE公布的漏洞庫，提供漏洞特征檢測技術。高危訪問控制技術：提供對數據庫用戶的登錄、操作行為，提供根據地點、時間、用戶、操作類型、對象等特征定義高危訪問行為。SQL注入禁止技術：提供SQL注入特征庫。返回行超標禁止技術：提供對敏感表的返回行數控制。SQL黑名單技術：提供對非法SQL的語法抽象描述。應用“零〞誤報技術對于IPS類產品最重要的是在保持“低漏報率〞的同時維護“低誤報率〞；對于數據庫而言這點更為關鍵，一點點“誤報〞可能就會造成重大業務影響。DBFirewall提供強大的應用行為描述方法，以對合法應用行為放行，將誤報率降低為“零〞。DBFirewall通過語法抽象描述不同類型的SQL語句，躲避參數帶來的多樣化；通過應用學習捕獲所有合法SQL的語法抽象，建立應用SQL白名單庫。快速部署實施能力預定義策略模版：DBFirewall提供給用場景、維護場景、混合場景多種策略模版幫助用戶快速建立平安策略。預定義風險特征庫：通過預定義風險特征庫快速建立風險阻斷規那么。多種運行模式：DBFirewall提供IPS、IDS運行模式，提供學習期、保護期兩種運行周期，以幫助用戶在防火墻建設的不同階段平滑過渡。功能特性【支持數據庫類型】Oracle、SQLServer、DB2、Informix、Sybase、Cache等國外主流數據庫;MySQL、PostgreSQL等開源數據庫達夢、GBase、金倉、Oscar等國內主流數據庫。【虛擬補丁】CVE上公布了2000多個數據庫平安漏洞，這些漏洞給入侵者敞開了大門。數據庫廠商會定期推出數據庫漏洞補丁，由于數據庫打補丁工作的復雜性和對應用穩定性的考慮，大多數企業無法及時更新補丁。DBFirewall提供了虛擬補丁功能，在數據庫外的網絡層創立了一個平安層，用戶在無需補丁情況下，完成數據庫漏洞防護。DBFirewall支持22類，460個以上虛擬補丁。【黑白名單支持】DBFirewall通過學習模式以及SQL語法分析構建動態模型，形成SQL白名單和SQL黑名單，對符合SQL白名單語句放行，對符合SQL黑名單特征語句阻斷。【細粒度權限管理】DBFirewall對于數據庫用戶提供比DBMS系統更詳細的虛擬權限控制。控制策略包括：用戶+操作+對象+時間。在控制操作中增加了UpdateNowhere、deleteNowhere等高危操作；控制規那么中增加返回行數和影響行數控制。【SQL注入禁止】DBFirewall通過對SQL語句進行注入特征描述，完成對SQL注入行為的檢測和阻斷。系統提供缺省SQL注入特征庫；系統提供定制化的擴展接口。【阻斷和審計】阻斷動作包括：中斷會話和攔截語句。審計行為分為：普通審計和告警審計。告警通知包括：Syslog、SNMP、郵件和短信。【行為監控與分析】DBFirewall提供全面詳細審計記錄，告警審計和會話事件記錄，并在此根底上實現了內容豐富的審計瀏覽、訪問分析和問題追蹤，提供實時訪問統計圖。DBFirewall通過對捕獲的SQL語句進行精細SQL語法分析,并根據SQL行為特征和關鍵詞特征進行自動分類，系統訪問SQL語句有效“歸類〞到幾百個類別范圍內，完成審計結果的高精確和高可用分析。【部署模式】串聯模式DBFirewall支持兩種串聯模式：透明網橋模式：在網絡上物理串聯接入DBFirewall設備，所有用戶訪問的網絡流量都串聯流經設備；通過透明網橋技術，客戶端看到的數據庫地址不變。代理接入模式：網絡上并聯接入DBFirewall設備，客戶端邏輯連接防火墻設備地址，防火墻設備轉發流量到數據