400-119-0035
數字化建設
品牌升級
數據安全
精品案例
新聞資(zī)訊
關于我(wǒ)(wǒ)們
數據庫防火(huǒ)牆(簡稱DAS-FW),是一(yī)款基于數據庫協議分(fēn)析與控制技術的數據庫安全防護系統。DAS-FW基于主動防禦機制,實現數據庫的訪問行爲控制、危險操作阻斷、可疑行爲審計。DAS-FW是一(yī)款集數據庫IPS、IDS和審計功能爲一(yī)體(tǐ)的綜合安全産品。
産品價值:
訪問權限精細控制
通過分(fēn)析數據庫流量數據,獲取權限控制所需關鍵信息,對相應數據庫請求行爲進行放(fàng)行或阻斷,達到第三方權限控制的目的。
防止内外(wài)高危操作
通過SQL注入特征庫捕獲和阻斷SQL注入行爲;通過限定更新和删除影響行、限定無Where的更新和删除操作、限定drop、truncate等高危操作避免大(dà)規模損失。
防止敏感數據洩漏
限定數據查詢和下(xià)載數量、限定敏感數據訪問的用戶、地點和時間。
審計追蹤非法行爲
提供對所有數據訪問行爲的記錄,對風險行爲進行SysLog、郵件、短信等方式的告警,提供事後追蹤分(fēn)析工(gōng)具。
産品優勢:
1、精細數據庫權限控制
針對數據庫表級别提供精細化的訪問權限控制,授權對象除了基本的數據庫用戶以外(wài),還可以對數據庫連接客戶端進行權限控制,同時可設置權限規則的時間周期及有效時間範圍。
2、全面數據庫入侵阻斷
提供全面的數據庫攻擊行爲檢測和阻斷技術,包括:SQL注入禁止技術、虛拟補丁技術、高危訪問控制技術、返回行超标禁止技術、SQL語句模闆技術。
3、場景化安全策略設置
系統按照不同的防護場景提供預定義策略。
4、分(fēn)布式部署集中(zhōng)管理
除了傳統的單機部署模式,還支持分(fēn)布式部署和集中(zhōng)管理模式,可統一(yī)下(xià)發策略、統一(yī)管理、統一(yī)展現。
産品特性:
SQL注入行爲檢測阻斷:通過對SQL語句進行注入特征描述,完成對SQL注入行爲的檢測和阻斷。
防止敏感數據洩漏篡改:針對不同的數據庫用戶,提供敏感表的操作權限、訪問行數和影響行數的控制,以及限制NO WHERE查詢和更新,從而避免大(dà)規模數據洩露和篡改。
支持SQL語句黑白(bái)名單:通過學習模式以及SQL語法分(fēn)析構建動态模型,形成SQL白(bái)名單和SQL黑名單,對符合SQL白(bái)名單語句放(fàng)行,對符合SQL黑名單特征語句阻斷。
提供精細訪問權限管理:對于數據庫用戶提供比DBMS系統更詳細的虛拟權限控制。控制策略包括:用戶、終端、對象、時間等元素。
支持風險行爲控制審計:對數據庫訪問行爲阻斷所采取的控制行爲,包括:“中(zhōng)斷會話(huà)”和“攔截語句”兩種方式。
多種安全策略模型支持:支持許可模型和禁止模型
數據應用訪問智能建模:提供學習期以完成對應用訪問數據庫行爲的建模,學習期提供兩種模式:初始化模式和完善模式。
全面精細審計控制分(fēn)析:提供全面詳細審計記錄,告警審計和會話(huà)事件記錄,并在此基礎上實現了内容豐富的審計浏覽、訪問分(fēn)析和問題追蹤,提供實時訪問首頁統計圖。
系統高可用性設計保障:采用高可靠性設計,支持多種高可靠性技術,包括網絡bypass和雙機熱備等,充分(fēn)保障系統運行穩定可靠,對客戶現網和業務零影響。
部署方案:
1、單機串聯部署模式—支持兩種串聯模式
透明網橋模式:在網絡上物(wù)理串聯接入DAS-FW設備,所有用戶訪問的網絡流量都串聯流經設備,通過透明網橋技術,客戶端看到的數據庫地址不變。
代理接入模式:網絡上并聯接入DAS-FW設備,客戶端邏輯連接防火(huǒ)牆設備地址,防火(huǒ)牆設備轉發流量到數據庫服務器。
2、分(fēn)布式部署模式
在數據庫流量指标超出單台DAS-FW處理性能指标或者客戶客戶環境無法集中(zhōng)部署防護設備的情況下(xià),可采用分(fēn)布式部署模式進行部署。将防護引擎分(fēn)别串接部署到各數據庫網絡前端,通過交換機與防護中(zhōng)心連接,如下(xià)圖所示:
在分(fēn)布式部署模式下(xià),防護中(zhōng)心對各防護引擎進行統一(yī)管理,防護規則由防護中(zhōng)心統一(yī)下(xià)發,防護動作由各防護引擎實施完成。
