數據庫防火墻

奇安信數據庫審計與防護系統-防火墻，是一款基于數據庫協議解析與訪問行為控制的數據庫安全防護產品。系統采用串聯的方式部署在數據庫服務器和應用服務器之間，對訪問數據庫的網絡數據包進行實時的監控和分析，基于身份鑒別和行為分析的主動防御機制，能夠實時監控、識別對數據庫的異常訪問、SQL攻擊等安全威脅，及時進行會話級阻斷，從而有效地保護核心數據的安全。

產品功能 PRODUCT FUNCTIONS

雙機熱備

系統能夠支持基于主備備份和負載分擔運行模式下的雙機部署方式，以應對數據庫多鏈路冗余組網下的部署： 兩臺設備通過心跳網口發送KeepAlive保活報文進行主備間探測與切換，并采用會話同步、策略同步機制，保證雙機之間的一致性，保障系統的連續防護能力； 當數據庫采用集群、多鏈路冗余部署時，系統可以通過多組負載分擔的部署方式，為每一條業務鏈路提供單獨的保護能力。

軟/硬件Bypass

系統實時監控系統的運行狀態，具備硬件斷電Bypass和軟件異常Bypass導通能力，具體包括： 在進程掛死、CPU使用率超限和網卡瞬時流量超限等特定條件下的自動Bypass，能夠有效防止單點失效，保障業務流量不中斷； 在應急情況下可以手動啟動Bypass，導通網絡通道，避免異常阻斷。

多因子認證

系統采用多因子的組合認證方式對數據庫訪問者進行身份鑒別，能夠彌補數據庫的“用戶名+密碼”認證方式安全性的不足，同時滿足合規要求。 用戶或應用對數據庫進行訪問時，必須經過數據庫防火墻的多重認證，包括但不限于：時間（訪問時間）、來源（數據庫用戶、訪問者主機IP、主機名、主機系統用戶、客戶端應用程序）、行為（訪問對象、操作類型、其他行為特征）。

自動學習

系統能夠通過學習期對用戶操作行為特征的提取、分類和整理，形成用戶行為畫像，即時建立每個用戶的訪問行為特征模型。通過該模型，不僅能夠極大地減輕數據庫安全防護策略的配置工作量，而且基于精細化的過濾機制，系統能夠對數據庫用戶的各類行為特征和數據模型進行嚴格匹配，精準識別數據庫賬戶被盜用帶來的攻擊威脅，實現主動防護，提高系統的安全防護能力。

異常行為管控

系統能夠實時監控數據庫的連接信息、風險狀態等，并對數據庫的各類用戶行為進行嚴格的監控和管理。依據內置的各類數據庫的危險操作行為特征庫，能夠有效地監控并攔截數據庫的特權操作、數據盜取、刪庫等內部的越權操作行為。

敏感數據

系統通過內置敏感數據識別規則，能夠識別用戶數據庫中的敏感數據，用戶了解敏感數據的分布情況后針對敏感數據制定訪問控制策略。

SQL攻擊檢測

系統內置基于CVE的SQL注入&緩存區溢出特征庫和數據庫漏洞特征庫，用戶可通過啟用引擎的SQL攻擊策略，對SQL注入或漏洞攻擊行為進行特征分析和風險鑒別，系統能夠有效監控并攔截針對數據庫的多種攻擊行為。

風險記錄與告警

系統能夠支持對記錄的各類告警日志進行查詢。同時用戶可以配置多種方式的日志外發接口，將告警日志及時推送到第三方監控平臺，滿足客戶對突發事件的即時知情需求。

全局對象

系統提供了全局對象特征庫，支持客戶端IP、工具名稱、OS用戶、數據庫用戶、表名、列名、SQL關鍵字、時間范圍等多種全局對象的特征配置與管理。通過自學習的方式提取各類數據庫行為的特征，用戶可以根據實際需要直接選取，方便策略的直接引用，能夠大大降低策略配置的數據準備工作。

智能翻譯

系統提供基于SQL關鍵字、表和字段的智能翻譯功能，能夠根據定義的翻譯字典內容，自動將日志中的SQL語句進行轉換，翻譯成業務語言，便于業務系統用戶對于風險日志中專業的SQL語句的理解，了解風險事件產生的業務操作內容。

統計報表分析

系統監控自身防護狀態，生成風險實時報表，能夠直觀了解到各類風險事件的發生情況，將系統防護日志進行數據化分析的可視化表現。并且提供了豐富的報表模板，包括攻擊行為分布與來源、異常訪問行為分布與來源、阻斷行為分布與來源等，支持自定義報表的統計屬性。通過選用報表模板發布執行報表任務，能夠實現對風險日志及阻斷行為進行各種粒度的報表輸出、統計趨勢展示等。

產品優勢PRODUCT ADVANTAGE

強大的協議兼容性

系統支持OCI/JDBC/OLEDB/ODBC等常見協議，能夠支持Oracle、MySQL、MSSQL、Sybase、DB2、達夢6/7、人大金倉、神州通用、InforMix、PostgreSQL、Gbase、Hive、MongoDB、Redis、TeraData、Cache、Kafka、ElasticSearch、HANA、MariaDB、Hbase等多種數據庫類型，幾乎涵蓋了所有關系型數據庫和主流的大數據平臺，兼容性強。

細粒度的訪問控制

系統采用多因子的認證方式，對數據庫訪問者的身份進行多重鑒別。基于5W1H模型，能夠實現對數據庫訪問行為的訪問時間、訪問來源、使用工具、目標對象以及具體操作進行多層次的識別和認證，訪問控制粒度更全面、更精細。

全面的策略體系

系統區別于傳統的網絡防火墻，具有網絡和應用行為的多個層次的全方位防護體系。不僅能夠在TCP/IP協議棧的2-4層上對源和目的的IP、端口號、MAC等進行訪問控制，更能夠實時監控數據庫操作行為，對SQL注入攻擊和異常訪問等進行風險鑒別和非法阻斷。

高可靠的冗余特性

系統提供透明部署模式下的多重冗余方案，提高系統的高可靠性： 系統采用雙機部署時，系統能夠實時同步各類安全策略配置，當主機出現異常時觸發主備切換，保持業務流量不中斷； 系統采用單機部署時，當系統出現異常，通過軟/硬件Bypass功能，能夠及時導通業務通道，防止系統出現單點故障導致的業務中斷。

安全易用的處理機制

使用高性能硬件平臺、內核優化技術，滿足高負載環境下的性能要求； 智能學習，對數據庫訪問語句自動進行模式提取與分類，并生成特征模型，避免規則的復雜配置； 純透明的部署方式，應用程序的使用環境及授權用戶的數據庫操作管理過程均不會被改變。