数据库安全防护

您当前的位置:首页 > 产品中心 > 数据安全 > 数据库安全防护

数据库防火墙(DAS-FW)

发布源:深圳维创信息技术发布时间:2020-12-25 浏览次数:

亿赛通数据库防火墙(简称DAS-FW),是一款基于数据库协议分析与控制技术的数据库安全防护系统。DAS-FW基于主动防御机制,实现数据库的访问行为控制、危险操作阻断、可疑行为审计。DAS-FW是一款集数据库IPS、IDS和审计功能为一体的综合安全产品

数据库防火墙(DAS-FW)

数据库防火墙(DAS-FW)

数据库防火墙(DAS-FW)

数据库防火墙(DAS-FW)

访问权限精细控制

通过分析数据库流量数据,获取权限控制所需关键信息,对相应数据库请求行为进行放行或阻断,达到第三方权限控制的目的。

防止内外高危操作

通过SQL注入特征库捕获和阻断SQL注入行为;通过限定更新和删除影响行、限定无Where的更新和删除操作、限定drop、truncate等高危操作避免大规模损失。

防止敏感数据泄漏

限定数据查询和下载数量、限定敏感数据访问的用户、地点和时间。

审计追踪非法行为

提供对所有数据访问行为的记录,对风险行为进行SysLog、邮件、短信等方式的告警,提供事后追踪分析工具。

数据库防火墙(DAS-FW)

网络防火墙运作在底层的 TCP/IP 协议堆栈上,利用封包的多样属性来进行过滤或阻断的系统,例如:来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是 FTP),也能由通信协议、TTL 值、来源的网域名称或网段等属性来进行过滤

数据库防火墙(DAS-FW)

产品特性:

SQL注入行为检测阻断:通过对SQL语句进行注入特征描述,完成对SQL注入行为的检测和阻断。

防止敏感数据泄漏篡改:针对不同的数据库用户,提供敏感表的操作权限、访问行数和影响行数的控制,以及限制NO WHERE查询和更新,从而避免大规模数据泄露和篡改。

支持SQL语句黑白名单:通过学习模式以及SQL语法分析构建动态模型,形成SQL白名单和SQL黑名单,对符合SQL白名单语句放行,对符合SQL黑名单特征语句阻断。

提供精细访问权限管理:对于数据库用户提供比DBMS系统更详细的虚拟权限控制。控制策略包括:用户、终端、对象、时间等元素。

支持风险行为控制审计:对数据库访问行为阻断所采取的控制行为,包括:“中断会话”和“拦截语句”两种方式。

多种安全策略模型支持:支持许可模型和禁止模型

数据应用访问智能建模:提供学习期以完成对应用访问数据库行为的建模,学习期提供两种模式:初始化模式和完善模式。

全面精细审计控制分析:提供全面详细审计记录,告警审计和会话事件记录,并在此基础上实现了内容丰富的审计浏览、访问分析和问题追踪,提供实时访问首页统计图。

系统高可用性设计保障:采用高可靠性设计,支持多种高可靠性技术,包括网络bypass和双机热备等,充分保障系统运行稳定可靠,对客户现网和业务零影响。

产品优势:

1、精细数据库权限控制

针对数据库表级别提供精细化的访问权限控制,授权对象除了基本的数据库用户以外,还可以对数据库连接客户端进行权限控制,同时可设置权限规则的时间周期及有效时间范围。

2、全面数据库入侵阻断

提供全面的数据库攻击行为检测和阻断技术,包括:SQL注入禁止技术、虚拟补丁技术、高危访问控制技术、返回行超标禁止技术、SQL语句模板技术

3、场景化安全策略设置

系统按照不同的防护场景提供预定义策略.

4、分布式部署集中管理

除了传统的单机部署模式,还支持分布式部署和集中管理模式,可统一下发策略、统一管理、统一展现。

部署方案:

1、单机串联部署模式—支持两种串联模式

数据库防火墙(DAS-FW)

透明网桥模式:在网络上物理串联接入DAS-FW设备,所有用户访问的网络流量都串联流经设备,通过透明网桥技术,客户端看到的数据库地址不变。

代理接入模式:网络上并联接入DAS-FW设备,客户端逻辑连接防火墙设备地址,防火墙设备转发流量到数据库服务器。

2、分布式部署模式

在数据库流量指标超出单台DAS-FW处理性能指标或者客户客户环境无法集中部署防护设备的情况下,可采用分布式部署模式进行部署。将防护引擎分别串接部署到各数据库网络前端,通过交换机与防护中心连接,如下图所示:

数据库防火墙(DAS-FW)

在分布式部署模式下,防护中心对各防护引擎进行统一管理,防护规则由防护中心统一下发,防护动作由各防护引擎实施完成。

Copyright © 2021 深圳市维创信息技术有限公司 版权所有

粤ICP备2021016007号