美國服務(wù)器數據庫安全防火墻是作為保護數據庫安全必不可少的防御工事，今天小編就來(lái)介紹一下美國服務(wù)器數據庫防火墻的功能。

1、高可用性和高性能

數據庫在企業(yè)中承載著(zhù)關(guān)鍵核心業(yè)務(wù)，由于數據庫防火墻是串聯(lián)到數據庫與應用服務(wù)器之間的安全設備， 因此不能因為安全設備的部署而影響業(yè)務(wù)系統正常使用，數據庫防火墻自身需要具備高可用性和高速率并發(fā)處理能力。

當安全設備因宕機、系統本身主程序不可用、內存持續被占等問(wèn)題導致不可用時(shí)，自動(dòng)切換到另外一臺安全設備進(jìn)行運行，從而能夠達到設備的高可用，避免因日常維護操作和突發(fā)的系統崩潰所導致的停機時(shí)間，影響生產(chǎn)業(yè)務(wù)，提升系統和應用的高可用性。

因業(yè)務(wù)系統的高并發(fā)訪(fǎng)問(wèn)，數據庫需要對標直連訪(fǎng)問(wèn)數據庫，1毫秒內SQL處理速率要基本同直連訪(fǎng)問(wèn)數據庫，避免因數據庫防火墻部署影響業(yè)務(wù)系統的正常使用。

2、準入控制???????????????????????????????????????????????????????????????????

接入數據庫也需要根據不同的身份因子對人進(jìn)行多維度的識別，保證身份真實(shí)性和可靠性。

1）多因素身份：數據庫用戶(hù)名、應用系統用戶(hù)、IP地址、MAC地址、客戶(hù)端程序名、登錄時(shí)間等因子的多因素組合準入。

2）應用防假冒：可對應用程序進(jìn)行特征識別，識別應用的真實(shí)性，避免應用被假冒，從而導致應用被非法利用。

3、入侵防護功能

數據庫防火墻每天都需要面對外部環(huán)境的各種攻擊，在識別真實(shí)人員的基礎上，還需要對他們的訪(fǎng)問(wèn)行為和特征進(jìn)行檢測，并對危險行為進(jìn)行防御，主要防御功能應有：SQL注入安全防御，構建SQL注入特征庫，實(shí)現對注入攻擊的SQL特征識別，結合SQL白名單機制實(shí)現實(shí)時(shí)攻擊阻斷。

1）漏洞攻擊防御，由于數據庫升級困難的前提存在，需要對數據庫漏洞進(jìn)行掃描識別漏洞，并對這些漏洞進(jìn)行虛擬補丁，避免黑客通過(guò)這些漏洞進(jìn)行攻擊。

2）敏感SQL防御，即SQL所帶有敏感信息，對這些SQL需要單獨管理，只授權給可以訪(fǎng)問(wèn)的身份，拒絕未經(jīng)授權的身份進(jìn)行訪(fǎng)問(wèn)。

4、訪(fǎng)問(wèn)控制

很多應用程序往往存在權限控制漏洞，無(wú)法控制某些非法訪(fǎng)問(wèn)、高危操作，比如絕密資料的獲取等。這些潛藏巨大風(fēng)險的行為，需要進(jìn)行管理和控制：

1）防撞庫：當密碼輸入次數達到預設閾值時(shí)，鎖定攻擊終端；

2）危險操作阻斷：當應用在執行全量刪除、修改等高危行為的時(shí)候，需要對這些行為進(jìn)行阻斷；

3）敏感信息訪(fǎng)問(wèn)脫敏：根據訪(fǎng)問(wèn)者的權限，返回不同的數據，權限足夠時(shí)看到真實(shí)的數據，權限不足時(shí)返回經(jīng)過(guò)脫敏的數據，避免敏感信息泄露；

4）訪(fǎng)問(wèn)返回行數控制：可對訪(fǎng)問(wèn)結果進(jìn)行管理，避免非法一次性導出大量數據庫，導致數據的大量流失。

5、SQL白名單

SQL白名單，就是創(chuàng )建應用的SQL白名單庫，對于這些安全SQL進(jìn)行放行，對于危險SQL進(jìn)行阻斷。SQL白名單可以只針對可信SQL做特征識別、而不符合可信SQL特征的都可以認為他是未知或高危的SQL，并進(jìn)行阻斷或告警。

6、風(fēng)險監控

一般來(lái)說(shuō)數據庫防火墻往往會(huì )管理多個(gè)數據庫，當數據庫達到一定數量時(shí)，通過(guò)人工很難監控數據庫的整體安全情況，因此需要監控平臺進(jìn)行統一的安全監控，監控數據庫防火墻的整體安全情況，當出現風(fēng)險時(shí)可快速的定位當前被攻擊的數據庫及發(fā)起攻擊的客戶(hù)端等。

7、告警

對于任何不認識的新ID和操作進(jìn)行識別并實(shí)時(shí)告警，是數據庫安全防護必不可少的一環(huán)，包括：新發(fā)現的IP地址，應用程序，數據庫賬戶(hù)，應用賬戶(hù)，訪(fǎng)問(wèn)對象，訪(fǎng)問(wèn)操作，SQL語(yǔ)句等，系統可通過(guò)短信、郵件、動(dòng)畫(huà)等多種告警手段來(lái)保證告警的實(shí)時(shí)性。

8、風(fēng)險分析與追蹤

業(yè)務(wù)人員在通過(guò)業(yè)務(wù)系統提供的功能完成對敏感信息的訪(fǎng)問(wèn)時(shí)，容易造成數據外泄的風(fēng)險，因此提供對風(fēng)險訪(fǎng)問(wèn)的詳細記錄，便于風(fēng)險分析和問(wèn)題追溯至關(guān)重要。詳細的風(fēng)險分析和追蹤，應包括以下基本要素：

Who：真實(shí)的數據庫帳號、主機名稱(chēng)、操作系統帳號等真實(shí)身份。

What：什么對象數據被訪(fǎng)問(wèn)了，執行了什么操作，觸發(fā)了什么安全策略。

When：每個(gè)事件發(fā)生的具體時(shí)間。

Where：事件的來(lái)源和目的，包括IP地址、MAC地址等。

How：通過(guò)哪些應用程序或第三方工具進(jìn)行的操作。

以上就是數據庫安全防火墻功能介紹，希望能幫助到有需要的用戶(hù)。

美聯(lián)科技已與全球多個(gè)國家的頂級數據中心達成戰略合作關(guān)系，為互聯(lián)網(wǎng)外貿行業(yè)、金融行業(yè)、IOT行業(yè)、游戲行業(yè)、直播行業(yè)、電商行業(yè)等企業(yè)客戶(hù)等提供一站式安全解決方案。關(guān)注美聯(lián)科技，了解更多IDC資訊！