数据库防火墙onefirewall，如何防范黑客物理删除？避免携程事件再次上演

首先解释一下数据库防火墙原理（白名单机制）：就类似360手机卫士，事先定义通讯录，别人给你打电话时，只有在通讯录的电话可以接听，没有在通讯录的直接拒绝。

数据库通常是敏感信息的集中地，也是黑客攻击的最大目标之一,攻破数据库 后,可以用最快的方式获式获取大量有用的数据,这样的例子频有发生。可以利用中间件-OneProxy的白名单机制 ,此时 OneProxy 只会处理符合白名单要求的 SQL 语 句，而其他一切非法SQL（如drop 、delete等）则会被OneProxy拒绝掉而无法执行。

收集方法：
可以很方便地在线下环境或线上环境里收集 SQL 的白名单,让应用通过 OneProxy 来访问数据库,进行详细的功能测试,或在线上运行一段时间,OneProxy 会收集运行过的所有 SQL 语句,进行相应的处理,将字符串和数字替 换为“?”号。然后可以用“save sql”命令将这些 SQL 语句导出来,就得到合 法的 SQL 语句列表了。

测试：

如下图可以发现，合法的查询是可以执行的，而非法的drop、delete则被OneProxy禁止。

本文转自hcymysql51CTO博客，原文链接：http://blog.51cto.com/hcymysql/1664972 ，如需转载请自行联系原作者