数据库防火墙

       奇安信网神数据库防火墙是内外部设备或人员访问数据库时，通过分析数据库通讯协议中的SQL语句和语法特征，检测恶意行为、非授权访问敏感信息等，并进行实时阻断和告警。系统通过虚拟补丁技术捕获和阻断漏洞攻击行为，通过SQL注入特征库捕获和阻断SQL注入行为。系统可设置系统表和敏感对象的访问权限、限定高危操作。

• 
  

  双机热备

  系统能够支持基于主备备份和负载分担运行模式下的双机部署方式，以应对数据库多链路冗余组网下的部署： 两台设备通过心跳网口发送KeepAlive保活报文进行主备间探测与切换，并采用会话同步、策略同步机制，保证双机之间的一致性，保障系统的连续防护能力； 当数据库采用集群、多链路冗余部署时，系统可以通过多组负载分担的部署方式，为每一条业务链路提供单独的保护能力。
• 
  

  软/硬件Bypass

  系统实时监控系统的运行状态，具备硬件断电Bypass和软件异常Bypass导通能力，具体包括： 在进程挂死、CPU使用率超限和网卡瞬时流量超限等特定条件下的自动Bypass，能够有效防止单点失效，保障业务流量不中断； 在应急情况下可以手动启动Bypass，导通网络通道，避免异常阻断。
• 
  

  多因子认证

  系统采用多因子的组合认证方式对数据库访问者进行身份鉴别，能够弥补数据库的“用户名+密码”认证方式安全性的不足，同时满足合规要求。 用户或应用对数据库进行访问时，必须经过数据库防火墙的多重认证，包括但不限于：时间（访问时间）、来源（数据库用户、访问者主机IP、主机名、主机系统用户、客户端应用程序）、行为（访问对象、操作类型、其他行为特征）。
• 
  

  自动学习

  系统能够通过学习期对用户操作行为特征的提取、分类和整理，形成用户行为画像，即时建立每个用户的访问行为特征模型。通过该模型，不仅能够极大地减轻数据库安全防护策略的配置工作量，而且基于精细化的过滤机制，系统能够对数据库用户的各类行为特征和数据模型进行严格匹配，精准识别数据库账户被盗用带来的攻击威胁，实现主动防护，提高系统的安全防护能力。
• 
  

  异常行为管控

  系统能够实时监控数据库的连接信息、风险状态等，并对数据库的各类用户行为进行严格的监控和管理。依据内置的各类数据库的危险操作行为特征库，能够有效地监控并拦截数据库的特权操作、数据盗取、删库等内部的越权操作行为。
• 
  

  敏感数据

  系统通过内置敏感数据识别规则，能够识别用户数据库中的敏感数据，用户了解敏感数据的分布情况后针对敏感数据制定访问控制策略。
• 
  

  SQL攻击检测

  系统内置基于CVE的SQL注入&缓存区溢出特征库和数据库漏洞特征库，用户可通过启用引擎的SQL攻击策略，对SQL注入或漏洞攻击行为进行特征分析和风险鉴别，系统能够有效监控并拦截针对数据库的多种攻击行为。
• 
  

  风险记录与告警

  系统能够支持对记录的各类告警日志进行精确查询。同时用户可以配置多种方式的日志外发接口，将告警日志及时推送到第三方监控平台，满足客户对突发事件的即时知情需求。
• 
  

  全局对象

  系统提供了全局对象特征库，支持客户端IP、工具名称、OS用户、数据库用户、表名、列名、SQL关键字、时间范围等多种全局对象的特征配置与管理。通过自学习的方式提取各类数据库行为的特征，用户可以根据实际需要直接选取，方便策略的直接引用，能够大大降低策略配置的数据准备工作。
• 
  

  智能翻译

  系统提供基于SQL关键字、表和字段的智能翻译功能，能够根据定义的翻译字典内容，自动将日志中的SQL语句进行转换，翻译成业务语言，便于业务系统用户对于风险日志中专业的SQL语句的理解，了解风险事件产生的业务操作内容。
• 
  

  统计报表分析

  系统监控自身防护状态，生成风险实时报表，能够直观了解到各类风险事件的发生情况，将系统防护日志进行数据化分析的可视化表现。并且提供了丰富的报表模板，包括攻击行为分布与来源、异常访问行为分布与来源、阻断行为分布与来源等，支持自定义报表的统计属性。通过选用报表模板发布执行报表任务，能够实现对风险日志及阻断行为进行各种粒度的报表输出、统计趋势展示等。

• 

  强大的协议兼容性

  系统支持OCI/JDBC/OLEDB/ODBC等常见协议，能够支持Oracle、MySQL、MSSQL、Sybase、DB2、达梦6/7、人大金仓、神州通用、InforMix、PostgreSQL、Gbase、Hive、MongoDB、Redis、TeraData、Cache、Kafka、ElasticSearch、HANA、MariaDB、Hbase等多种数据库类型，几乎涵盖了所有关系型数据库和主流的大数据平台，兼容性强。

• 

  细粒度的访问控制

  系统采用多因子的认证方式，对数据库访问者的身份进行多重鉴别。基于5W1H模型，能够实现对数据库访问行为的访问时间、访问来源、使用工具、目标对象以及具体操作进行多层次的识别和认证，访问控制粒度更全面、更精细。

• 

  全面的策略体系

  系统区别于传统的网络防火墙，具有网络和应用行为的多个层次的全方位防护体系。不仅能够在TCP/IP协议栈的2-4层上对源和目的的IP、端口号、MAC等进行访问控制，更能够实时监控数据库操作行为，对SQL注入攻击和异常访问等进行风险鉴别和非法阻断。

• 

  高可靠的冗余特性

  系统提供透明部署模式下的多重冗余方案，提高系统的高可靠性： 系统采用双机部署时，系统能够实时同步各类安全策略配置，当主机出现异常时触发主备切换，保持业务流量不中断； 系统采用单机部署时，当系统出现异常，通过软/硬件Bypass功能，能够及时导通业务通道，防止系统出现单点故障导致的业务中断。

• 

  安全易用的处理机制

  使用高性能硬件平台、内核优化技术，满足高负载环境下的性能要求； 智能学习，对数据库访问语句自动进行模式提取与分类，并生成特征模型，避免规则的复杂配置； 纯透明的部署方式，应用程序的使用环境及授权用户的数据库操作管理过程均不会被改变。