產品簡介

資料庫防火牆系統（簡稱VS-FW）該系統透過實時分析使用者對資料庫的訪問行為，自動建立合法訪問資料庫的特徵模型。同時，透過獨特的訪問控制和虛擬補丁等防護手段，及時發現並阻斷SQL隱碼攻擊和違反企業規範的資料庫訪問請求。主要功能包括攻擊檢測、多因子認證、訪問控制、防漏掃、自動建模和審計等。該產品具有有效阻斷危險訪問、效能高和報表豐富等優勢，幫助企業有效保護核心資料，保障業務運營安全，並快速的滿足合規要求。

產品功能

· 多因子認證

基於IP地址、MAC地址、使用者、應用程式、時間等因子對訪問者進行身份認證，形成多因子認證，彌補單一口令認證方式安全性的不足。應用程式對資料庫的訪問，必須經過資料庫防火牆和資料庫自身兩層身份認證。

· 遮蔽直接訪問資料庫的通道

資料庫防火牆部署於資料庫伺服器和應用伺服器之間，遮蔽直接訪問資料庫的通道，防止資料庫隱通道對資料庫的攻擊。

· 攻擊檢測和保護

實時檢測使用者對資料庫進行SQL隱碼攻擊和緩衝區溢位的攻擊，並報警或者阻止攻擊行為，同時詳細記錄攻擊操作發生的時間、來源IP、使用者名稱、攻擊程式碼等資訊。

· 行為基線—自動建立訪問模型

系統將自動學習每一個應用的訪問語句，進行模式提取和分類，自動生成行為特徵模型，並可以對學習結果進行編輯。系統透過檢查訪問行為與基線的偏差來風險。

· 連線監控

實時監控資料庫的連線資訊、風險狀態等。

· 虛擬補丁

資料庫系統是個複雜的系統，自身存在很多漏洞，容易被攻擊者利用從而導致資料洩漏或致使系統癱瘓。由於需要保證業務連續性等多種原因，使用者通常不會及時對資料庫進行補丁安裝。中安威士資料庫防火牆透過內建的多種漏洞特徵庫防止已知漏洞被掃描和利用，並有效降低資料庫被0day攻擊的風險

· 報表

提供豐富的報表模板，包括各種審計報表、安全趨勢等。

· 安全審計

系統能夠記錄對資料庫伺服器的訪問情況，包括使用者名稱、程式名、IP地址、請求的資料庫、連線斷開的時間、風險等資訊，並提供靈活的查詢分析功能

特性優勢

技術優勢

· 全自主技術體系：形成高技術壁壘

· 高速分析技術：特殊資料包分析和轉發技術，實現高效的網路通訊內容過濾

· 多執行緒技術和快取技術：支援高併發連線

· 基於BigTable和MapReduce的儲存：單機環境高效、海量儲存

· 基於倒排索引的檢索：高效、靈活日誌檢索，報表生成

高效能

· 連續處理能力：4000~8萬以上SQL/s

· 日誌檢索速度: 1億條記錄，帶萬用字元模糊檢索，<1分鐘

· 日誌儲存能力: 30億 ~100億SQL/TB

高可用性

· 基基於硬體的Bypass功能，防止單點失敗

· 支援雙機熱備功能，保證連續服務能力

· 支援自動日誌備份

· 支援SNMP、Syslog等日誌外發

· 支援時間同步

· 多種部署方式可選擇，支援純透明部署

· ......

高安全性

· 細粒度的訪問控制

· 可以靈活的對每個應用程式的訪問許可權進行配置

· 支援黑名單、白名單規則

· ......

典型部署

直路代理模式

將資料庫防火牆直連在資料庫之前，所有對資料庫的訪問流量都流經該裝置進行過濾和轉發。防火牆可以不設IP地址，客戶端看到的資料庫地址不變。

單臂代理模式

將資料庫防火牆接入資料庫所在網路，客戶端邏輯連線防火牆裝置地址，所有對資料庫的訪問流量都流經該裝置進行過濾和轉發。

資料庫審計和防火牆：混合部署

將資料庫防火牆接入資料庫所在網路，客戶端邏輯連線防火牆裝置地址，所有對資料庫的訪問流量都流經該裝置進行過濾和轉發。同時將日誌發給審計系統，與審計系統配合使用，對資料庫進行審計與防護。

客戶價值

保護核心資料資產，防止內外部攻擊造成的資料洩密

· 防止外部駭客攻擊，竊取資料：SQL隱碼攻擊、緩衝區溢位、許可權盜用等

· 防止內部人員洩密，違規備份、許可權濫用、誤操作等

· 防止運維人員和第三方人員違規訪問敏感資料

安全性與可用性的完美結合，對合法應用和使用者透明

· 智慧學習，自動生成安全基線，無需手動複雜配置規則

· 高穩定性與高效能，支援雙機熱備，保障正常業務的連續性

· 不需要對應用程式作任何修改，不改變應用程式的使用環境

· 對於授權使用者的資料庫操作與管理等過程無需改變

資料庫防火牆

相關文章