什么是數(shù)據(jù)庫防火墻

一、概述

數(shù)據(jù)庫防火墻仿佛是近幾年來出現(xiàn)的一款新的安全設備，但事實上歷史已經(jīng)很長。2010年，Oracle公司在收購了Secerno公司，在2011年2月份正式發(fā)布了其數(shù)據(jù)庫防火墻產(chǎn)品(database firewall)，已經(jīng)在市場上出現(xiàn)很多年頭了。由于數(shù)據(jù)庫防火墻這個詞通俗易懂，和防火墻、Web防火墻、下一代防火墻等主流安全產(chǎn)品一脈相承，很多公司也就把自己的數(shù)據(jù)(庫)安全產(chǎn)品命名為數(shù)據(jù)庫防火墻。每家公司對于數(shù)據(jù)庫防火墻的定義各不相同，側重點也不一樣。也就是說，雖然大家都在說數(shù)據(jù)庫防火墻，很有可能是兩個完全不同的數(shù)據(jù)(庫)安全設備。

二、什么是數(shù)據(jù)庫防火墻

數(shù)據(jù)庫防火墻顧名思義是一款數(shù)據(jù)(庫)安全設備，從防火墻這個詞可以看出，其主要作用是做來自于外部的危險隔離。換句話說，數(shù)據(jù)庫防火墻應該在入侵在到達數(shù)據(jù)庫之前將其阻斷，至少需要在入侵過程中將其阻斷。

1. 如何定義外部?

至于如何定義外部威脅，則需要對于數(shù)據(jù)庫邊界進行明確的界定，而這個數(shù)據(jù)庫邊界的界定則具有多變性。第一種定義，從極限的角度來看，由于現(xiàn)在網(wǎng)絡邊界的模糊，可以把所有來自于數(shù)據(jù)庫之外的訪問都定義為外部。如果是這個定義來看，防火墻承載的任務非常繁重，可能不是一個安全設備所能夠承擔的。第二種定義是數(shù)據(jù)中心和運維網(wǎng)絡可以被定義為內(nèi)部訪問，其他訪問定義為外部訪問，讓防火墻不需要去承載內(nèi)部運維安全和員工安全，從而更好的工作。

綜合看來，我們采用第二種定義，數(shù)據(jù)庫防火墻主要承載數(shù)據(jù)中心和運維網(wǎng)絡之外的數(shù)據(jù)(庫)安全工作。

2. 如何定義數(shù)據(jù)庫防火墻?

一旦準確的定義了什么是外部之后，什么是數(shù)據(jù)庫防火墻就比較清楚了。運維網(wǎng)絡之外的訪問我們都可以定義為業(yè)務訪問。

數(shù)據(jù)庫防火墻是一款抵御并消除由于應用程序業(yè)務邏輯漏洞或者缺陷所導致的數(shù)據(jù)(庫)安全問題的安全設備或者產(chǎn)品。數(shù)據(jù)庫防火墻一般情況下部署在應用程序服務器和數(shù)據(jù)庫服務器之間，采用數(shù)據(jù)庫協(xié)議解析的方式完成。但這并不是唯一的實現(xiàn)方式，你可以部署在數(shù)據(jù)庫外部，可以不采用協(xié)議解析。從這個定義可以看出，數(shù)據(jù)庫防火墻其本質目標是給業(yè)務應用程序打補丁，避免由于應用程序業(yè)務邏輯漏洞或者缺陷影響數(shù)據(jù)(庫)安全。

常見的應用程序業(yè)務邏輯漏洞和缺陷：

SQL注入攻擊

cc攻擊

非預期的大量數(shù)據(jù)返回

敏感數(shù)據(jù)未脫敏

頻繁的同類操作

超級敏感操作控制

身份盜用和撞庫攻擊

驗證繞行和會話劫持

業(yè)務邏輯混亂

網(wǎng)頁題目：什么是數(shù)據(jù)庫防火墻
鏈接URL：http://www.bm7419.com/news1/204051.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供搜索引擎優(yōu)化、小程序開發(fā)、做網(wǎng)站、網(wǎng)站內(nèi)鏈、手機網(wǎng)站建設、面包屑導航

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉載內(nèi)容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)