数据库防火墙
数据库防火墙 是什么?
数据库防火墙串接在应用与数据库之间的安全设备或代理,按白名单策略检查 SQL,在攻击触达数据库之前阻断注入、权限滥用及未授权语句。
数据库防火墙以网络代理、代理 Agent 或反向代理网关的形式部署在应用与数据库引擎之间,将每条 SQL 解析为规范化指纹,与学习得到的基线或人工配置的白名单进行匹配。偏离基线的语句(可疑的 UNION SELECT、OR 1=1、意外的 DDL、向缓存表导出数据等)会被阻断或隔离。代表产品包括 Imperva SecureSphere DBF、Oracle Database Firewall(Audit Vault and Database Firewall)、DataSunrise 与 IBM Guardium,可工作在监控或阻断模式,并能与 WAF、SIEM 联动。与 DAM 仅观察并告警不同,数据库防火墙通过实时终止违规会话来执行策略。
● 示例
- 01
在代理层阻断基于恒等式的 SQL 注入("' OR 1=1 --"),避免其到达 MySQL。
- 02
强制应用 JDBC 账户只能调用一组固定的存储过程。
● 常见问题
数据库防火墙 是什么?
串接在应用与数据库之间的安全设备或代理,按白名单策略检查 SQL,在攻击触达数据库之前阻断注入、权限滥用及未授权语句。 它属于网络安全的 防御与运营 分类。
数据库防火墙 是什么意思?
串接在应用与数据库之间的安全设备或代理,按白名单策略检查 SQL,在攻击触达数据库之前阻断注入、权限滥用及未授权语句。
数据库防火墙 是如何工作的?
数据库防火墙以网络代理、代理 Agent 或反向代理网关的形式部署在应用与数据库引擎之间,将每条 SQL 解析为规范化指纹,与学习得到的基线或人工配置的白名单进行匹配。偏离基线的语句(可疑的 UNION SELECT、OR 1=1、意外的 DDL、向缓存表导出数据等)会被阻断或隔离。代表产品包括 Imperva SecureSphere DBF、Oracle Database Firewall(Audit Vault and Database Firewall)、DataSunrise 与 IBM Guardium,可工作在监控或阻断模式,并能与 WAF、SIEM 联动。与 DAM 仅观察并告警不同,数据库防火墙通过实时终止违规会话来执行策略。
如何防御 数据库防火墙?
针对 数据库防火墙 的防御通常结合技术控制与运营实践,详见上方完整定义。
数据库防火墙 还有哪些其他名称?
常见的别称包括: DB 防火墙, SQL 防火墙。