数据库防火墙

防火墙的类型繁多，即使下一代防火墙或者说AI防火墙集成功能再多，我觉得waf与数据库防火墙也有其无法被替代的理由，以此记录我对数据库防火墙的理解

what

数据库防火墙是基于数据库协议分析与访问行为控制的数据库安全防护产品，通过全面的数据库通讯协议解析，基于身份鉴别和行为分析的主动防御机制，能够主动实时监控、识别、告警、阻断针对数据库的安全威胁，实现数据库的行为特征分析、访问行为监控和危险操作阻断。

why

作为web sever与DB sever之间的安全设备，我们要知道web sever作为网站服务器是要面向外部流量访问的，因此要放在DMZ区，因此面对的风险就会大大增加，因此以web sever攻击DB sever也使得数据安全面临挑战

所以说数据库防火墙可以看作是waf后的又一道防线，但是攻击者可能会绕过WAF直接入侵数据库

同时数据库防火墙还能防止内部人员泄密，违规备份、权限滥用、误操作等

how

屏蔽直接访问数据库的通道

360数据库防火墙系统部署于数据库服务器和应用服务器之间，屏蔽直接访问数据库的通道，防止数据库隐通道对数据库的攻击。

攻击检测和保护

实时检测用户对数据库进行SQL注入和缓冲区溢出的攻击，并报警或者阻止攻击行为，同时详细记录攻击操作发生的时间、来源IP、用户名、操作语句等信息。

连接监控

实时监控数据库的连接信息、风险状态等，及时进行风险访问控制。

虚拟补丁

内置的多种漏洞特征库，无需对数据库进行补丁安装即可防止数据库已知漏洞被扫描和利用，保证业务连续性。

我认为的虚拟补丁就是一种临时补救办法，在修复漏洞前通过识别攻击的方法来阻拦攻击

数据库审计

前者数据库防火墙的介绍我们知道他的功能不单能防护来自外部的威胁还能防范内部的违规操作

但是至于更细化的帮助安全管理人员监控关键数据资产的安全状态，降低了数据泄露、篡改等核心风险，对于内部人员权限进行了有效的监督和管理。----这就需要数据库审计

当然这是锦上添花，满足合规性特别是数据安全有积极作用