億賽通數據庫防火墻(簡稱DAS-FW)�,是一款基于數據庫協議分析與控制技術的數據庫安全防護系統。DAS-FW基于主動防御機制�����,實現數據庫的訪問行為控制�����、危險操作阻斷�����、可疑行為審計�����。DAS-FW是一款集數據庫IPS����、IDS和審計功能為一體的綜合安全產品。
產品價值:
訪問權限精細控制
通過分析數據庫流量數據�,獲取權限控制所需關鍵信息�����,對相應數據庫請求行為進行放行或阻斷�����,達到第三方權限控制的目的���。
防止內外高危操作
通過SQL注入特征庫捕獲和阻斷SQL注入行為;通過限定更新和刪除影響行�����、限定無Where的更新和刪除操作�、限定drop、truncate等高危操作避免大規模損失���。
防止敏感數據泄漏
限定數據查詢和下載數量���、限定敏感數據訪問的用戶��、地點和時間���。
審計追蹤非法行為
提供對所有數據訪問行為的記錄��,對風險行為進行SysLog����、郵件、短信等方式的告警�����,提供事后追蹤分析工具�。
產品優勢:
1、精細數據庫權限控制
針對數據庫表級別提供精細化的訪問權限控制�����,授權對象除了基本的數據庫用戶以外�����,還可以對數據庫連接客戶端進行權限控制�,同時可設置權限規則的時間周期及有效時間范圍。
2��、全面數據庫入侵阻斷
提供全面的數據庫攻擊行為檢測和阻斷技術���,包括:SQL注入禁止技術����、虛擬補丁技術、高危訪問控制技術����、返回行超標禁止技術、SQL語句模板技術
3��、場景化安全策略設置
系統按照不同的防護場景提供預定義策略.
4�、分布式部署集中管理
除了傳統的單機部署模式,還支持分布式部署和集中管理模式��,可統一下發策略�����、統一管理��、統一展現��。
產品特性:
SQL注入行為檢測阻斷:通過對SQL語句進行注入特征描述�����,完成對SQL注入行為的檢測和阻斷���。
防止敏感數據泄漏篡改:針對不同的數據庫用戶���,提供敏感表的操作權限、訪問行數和影響行數的控制�,以及限制NO WHERE查詢和更新,從而避免大規模數據泄露和篡改�。
支持SQL語句黑白名單:通過學習模式以及SQL語法分析構建動態模型,形成SQL白名單和SQL黑名單��,對符合SQL白名單語句放行�����,對符合SQL黑名單特征語句阻斷��。
提供精細訪問權限管理:對于數據庫用戶提供比DBMS系統更詳細的虛擬權限控制�����?�?刂撇呗园ǎ河脩?、終端����、對象����、時間等元素。
支持風險行為控制審計:對數據庫訪問行為阻斷所采取的控制行為���,包括:“中斷會話”和“攔截語句”兩種方式����。
多種安全策略模型支持:支持許可模型和禁止模型
數據應用訪問智能建模:提供學習期以完成對應用訪問數據庫行為的建模����,學習期提供兩種模式:初始化模式和完善模式。
全面精細審計控制分析:提供全面詳細審計記錄��,告警審計和會話事件記錄�����,并在此基礎上實現了內容豐富的審計瀏覽�、訪問分析和問題追蹤,提供實時訪問首頁統計圖。
系統高可用性設計保障:采用高可靠性設計��,支持多種高可靠性技術�����,包括網絡bypass和雙機熱備等�,充分保障系統運行穩定可靠�����,對客戶現網和業務零影響�����。
部署方案:
1��、單機串聯部署模式—支持兩種串聯模式
透明網橋模式:在網絡上物理串聯接入DAS-FW設備����,所有用戶訪問的網絡流量都串聯流經設備,通過透明網橋技術�,客戶端看到的數據庫地址不變。
代理接入模式:網絡上并聯接入DAS-FW設備����,客戶端邏輯連接防火墻設備地址�����,防火墻設備轉發流量到數據庫服務器�。
2����、分布式部署模式
在數據庫流量指標超出單臺DAS-FW處理性能指標或者客戶客戶環境無法集中部署防護設備的情況下,可采用分布式部署模式進行部署�。將防護引擎分別串接部署到各數據庫網絡前端,通過交換機與防護中心連接���,如下圖所示:
在分布式部署模式下��,防護中心對各防護引擎進行統一管理��,防護規則由防護中心統一下發��,防護動作由各防護引擎實施完成�����。
