汉领数据库防火墙系统(简称DAF)是杭州汉领信息科技有限公司自行研制开发的新一代数据防护系统。DAF通过对访问数据库的数据流进行采集、分析和识别。实时监视数据库的运行状态,记录多种访问数据库行为,发现对数据库的异常访问,并进行及时的阻断。
随着数据库的使用越来越普及,给我们带来许多方便的同时,也给数据库也带来了许多风险和挑战,例如:数据库作为业务系统信息的载体,与各种应用程序或应用系统接口,随着信息化业务的发展及IT技术的进步,越来越多的关键业务系统运行在数据库平台上,但随之也产生了数据的安全隐患,特别是拥有高级被权限的运维人员,如:sa、system权限,在对数据库操作时的行为动作,特别是DML、DDL高危命令……,如果不进行管控、将会对数据库造成极大的危害,更甚者造成不可以恢复的损失。
越来越多的软件开发的需求,越来越多的软件公司直接进驻到公司内部现场开发,或者第三方协维人员现场运维,甚至APT攻击,多种方式接入到数据库,账号共用,随意登入,给数据库安全带来了巨大隐患。
数据的重要性日益剧增,也招致一些非法人员对数据库的工具,攻击者一般会通过sql注入、APT等攻击方法对其进行攻击,如果攻击成功,不仅能得到数据库的各种信息,更有甚者,还可以通过数据库的一些特定的函数和指令,得到其服务器的管理权限。与此同时,人们也尝试利用各种各样的方式来防御外部攻击,在网络中设置数据库访问控制策略并检查数据库访问者是否合法。最常见的是在应用服务器前端架设WAF设备,通过清洗用户提交的数据,通过检测数据中是否包含sql语句中关键字符,来确定其是否为攻击行为。但由于攻击方式的灵活性、多样性及WAF本身的局限性,收效甚微。
DAF正是在这样的需求下产生的。汉领凭借在安全审计领域多年的技术积累和研发经验,推出的适用于多种网络环境的新一代数据库防护系统。它通过专门细致的网络数据获取协议分析技术、非法操作防护技术、数据保护技术并配合完善的管理规则,帮助访问者应对来自网络中的风险和挑战。
1、数据库网络防火墙
数据库网络防火墙是针对关系型数据库保护需求应运而生的一种数据库安全主动防御技术。数据库防火墙所采用的主动防御技术能够主动实时监控、识别、告警、阻断绕过企业网络边界(FireWall、IDS\IPS等)防护的数据攻击行为、来自于内部的高权限用户(DBA、开发人员、第三方外包服务提供商)的数据窃取、破坏、损坏的等,从数据库SQL语句精细化控制的技术层面,提供一种主动安全防御措施,并且,结合独立于数据库的安全访问控制规则,帮助用户应对来自内部和外部的数据安全威胁。
数据库网络防火墙主要基于网络行为的控制,基于TCP五元组来实现,根据五元组内的源地址,目标地址,源端口,目标端口,传输层协议进行策略控制。传输层协议即为端口号,如sqlserver数据库,1433端口,ftp,21端口,telnet,23端口等等。
2、数据库准入防火墙
主要解决数据库操作行为的问题,通过对访问源地址,访问源主机名称,访问源用户名称,访问工具名称,登录帐号名称数据库五元素进行管理,在数据库准入是进行控制,从根本上解决数据库恶意访问威胁。
通过白名单自学习进行访问准入规则的固化(自动学习到数据库访问行为的五元素,通过管理者人为固化安全规则),未被固化的数据库接入行为都会进行实时的预警和阻断会话(访问源地址异常,访问源主机名称异常,访问源用户名称异常,访问工具名称异常,登录帐号名称异常),在不影响性能和修改数据库的情况下,通过持续跟踪所有数据库操作来识别未授权的活动或可疑的活动,并及时阻断,避免数据库遭受网络攻击,从根本上解决数据库恶意访问威胁。
3、数据库行为防火墙
主要解决数据库操作行为的问题,可以有效监控数据库访问行为,准确掌握数据库系统的安全状态,及时发现违反数据库安全行为策略事件,并实时阻断、报警、记录,从而实现对危害事件的事中阻断、定位分析、事后追查取证,以此保障数据库数据的安全。对应用程序而言,它是透明的,应用程序就像连接正常的数据库一样,连接到数据库防火墙上,然后数据库防火墙会接收到应用程序传递给数据库的数据,并对其进行检测,最后根据检测的结果,做出不同的响应。数据库防火墙模块主要是基于主动防御。主动防御,通过一些恶意行为的策略来检测的,策略可以进行人工定义。这样,可以将行为控制在一个已知的范围内。
数据库防火墙DAF会成为网络故障点吗?
DAF是一个深入应用层(七层)的数据库安全设备,主要提供数据库威胁防御的业务,不同于交换机、路由器,DAF本身不参与报文选路和交换,而是透明或旁路部署,从一个接口上接收网络流量,对报文进行深入七层的实时的分析检测,根据检测结果阻断攻击流量,并将正常流量从另一个确定的接口上转发出去。所以,在DAF上可以实现相比交换机、路由器更多的可靠性设计,即DAF的多重高可靠性(MHA)设计。DAF的多重高可靠性(MHA)面向业务传送的所有层面进行高可靠保护,使得在任何情况下业务都不会因为DAF的故障而中断,使得DAF这个网络节点永远不会成为中断业务的故障点。
DAF采用多重高可靠性(MHA),从硬件和软件两个角度来进行设计。
硬件方面设计了无源连接设备PFC(Power Free Connector),PFC可以为DAF产品提供了掉电保护功能。在DAF掉电的情况下,PFC可以将网络流量自动绕开DAF、旁路到下一跳设备上去;而当管理员恢复电源供给后,PFC又会自动禁止旁路功能,所有流量将再度流经DAF接受检测。
PFC是通过DAF设备上的USB口供电的,当DAF掉电后,PFC也掉电,PFC掉电后通过内部的继电器装置会迅速连通网络,实现Bypass。利用PFC设备, DAF在掉电后小于10ms的时间内即能恢复网络连通。同时,DAF通过控制USB口的供电,可以保证在DAF重启时也不中断业务。
软件方面DAF产品内置分流器,可将数据流分给CPU进行多流同时处理。每个流里分别处理不同的进程和队列,互不影响,并且在每个流里面采用了软件bypass技术。能够实现了二层回退机制,当检测引擎或软件系统故障(如某个软件进程挂起)时, DAF会退到二层工作模式,直接将接收到的网络流量在二层就转发出去,不再进行上层的检测处理,直到相应的进程恢复正常;另外,其他流里面的进程和队列继续进行,共同保证在设备软件故障时仍能保证业务连续性。如下图所示。设备检测引擎或软件系统故障切换到二层回退的时间在10微秒数量级以下。从而保证了处理的速度和稳定性。
