奇安信網神數據庫防火牆

數據庫防火牆

奇安信數據庫審計與防護系統-防火牆，是一款基于數據庫協議解析與訪問行爲控制的(de)數據庫安全防護産品。系統采用(yòng)串聯的(de)方式部署在數據庫服務器和(hé)應用(yòng)服務器之間，對訪問數據庫的(de)網絡數據包進行實時的(de)監控和(hé)分(fēn)析，基于身份鑒别和(hé)行爲分(fēn)析的(de)主動防禦機制，能夠實時監控、識别對數據庫的(de)異常訪問、SQL攻擊等安全威脅，及時進行會話級阻斷，從而有效地保護核心數據的(de)安全。

産品功能 PRODUCT FUNCTIONS

雙機熱備

系統能夠支持基于主備備份和(hé)負載分(fēn)擔運行模式下(xià)的(de)雙機部署方式，以應對數據庫多(duō)鏈路冗餘組網下(xià)的(de)部署： 兩台設備通(tōng)過心跳網口發送KeepAlive保活報文進行主備間探測與切換，并采用(yòng)會話同步、策略同步機制，保證雙機之間的(de)一緻性，保障系統的(de)連續防護能力； 當數據庫采用(yòng)集群、多(duō)鏈路冗餘部署時，系統可(kě)以通(tōng)過多(duō)組負載分(fēn)擔的(de)部署方式，爲每一條業務鏈路提供單獨的(de)保護能力。

軟/硬件Bypass

系統實時監控系統的(de)運行狀态，具備硬件斷電Bypass和(hé)軟件異常Bypass導通(tōng)能力，具體包括： 在進程挂死、CPU使用(yòng)率超限和(hé)網卡瞬時流量超限等特定條件下(xià)的(de)自動Bypass，能夠有效防止單點失效，保障業務流量不中斷； 在應急情況下(xià)可(kě)以手動啓動Bypass，導通(tōng)網絡通(tōng)道，避免異常阻斷。

多(duō)因子認證

系統采用(yòng)多(duō)因子的(de)組合認證方式對數據庫訪問者進行身份鑒别，能夠彌補數據庫的(de)“用(yòng)戶名+密碼”認證方式安全性的(de)不足，同時滿足合規要求。 用(yòng)戶或應用(yòng)對數據庫進行訪問時，必須經過數據庫防火牆的(de)多(duō)重認證，包括但不限于：時間（訪問時間）、來源（數據庫用(yòng)戶、訪問者主機IP、主機名、主機系統用(yòng)戶、客戶端應用(yòng)程序）、行爲（訪問對象、操作類型、其他(tā)行爲特征）。

自動學習

系統能夠通(tōng)過學習期對用(yòng)戶操作行爲特征的(de)提取、分(fēn)類和(hé)整理(lǐ)，形成用(yòng)戶行爲畫像，即時建立每個用(yòng)戶的(de)訪問行爲特征模型。通(tōng)過該模型，不僅能夠極大(dà)地減輕數據庫安全防護策略的(de)配置工作量，而且基于精細化(huà)的(de)過濾機制，系統能夠對數據庫用(yòng)戶的(de)各類行爲特征和(hé)數據模型進行嚴格匹配，精準識别數據庫賬戶被盜用(yòng)帶來的(de)攻擊威脅，實現主動防護，提高(gāo)系統的(de)安全防護能力。

異常行爲管控

系統能夠實時監控數據庫的(de)連接信息、風險狀态等，并對數據庫的(de)各類用(yòng)戶行爲進行嚴格的(de)監控和(hé)管理(lǐ)。依據内置的(de)各類數據庫的(de)危險操作行爲特征庫，能夠有效地監控并攔截數據庫的(de)特權操作、數據盜取、删庫等内部的(de)越權操作行爲。

敏感數據

系統通(tōng)過内置敏感數據識别規則，能夠識别用(yòng)戶數據庫中的(de)敏感數據，用(yòng)戶了(le)解敏感數據的(de)分(fēn)布情況後針對敏感數據制定訪問控制策略。

SQL攻擊檢測

系統内置基于CVE的(de)SQL注入&緩存區溢出特征庫和(hé)數據庫漏洞特征庫，用(yòng)戶可(kě)通(tōng)過啓用(yòng)引擎的(de)SQL攻擊策略，對SQL注入或漏洞攻擊行爲進行特征分(fēn)析和(hé)風險鑒别，系統能夠有效監控并攔截針對數據庫的(de)多(duō)種攻擊行爲。

風險記錄與告警

系統能夠支持對記錄的(de)各類告警日志進行查詢。同時用(yòng)戶可(kě)以配置多(duō)種方式的(de)日志外發接口，将告警日志及時推送到第三方監控平台，滿足客戶對突發事件的(de)即時知情需求。

全局對象

系統提供了(le)全局對象特征庫，支持客戶端IP、工具名稱、OS用(yòng)戶、數據庫用(yòng)戶、表名、列名、SQL關鍵字、時間範圍等多(duō)種全局對象的(de)特征配置與管理(lǐ)。通(tōng)過自學習的(de)方式提取各類數據庫行爲的(de)特征，用(yòng)戶可(kě)以根據實際需要直接選取，方便策略的(de)直接引用(yòng)，能夠大(dà)大(dà)降低策略配置的(de)數據準備工作。

智能翻譯

系統提供基于SQL關鍵字、表和(hé)字段的(de)智能翻譯功能，能夠根據定義的(de)翻譯字典内容，自動将日志中的(de)SQL語句進行轉換，翻譯成業務語言，便于業務系統用(yòng)戶對于風險日志中專業的(de)SQL語句的(de)理(lǐ)解，了(le)解風險事件産生的(de)業務操作内容。

統計報表分(fēn)析

系統監控自身防護狀态，生成風險實時報表，能夠直觀了(le)解到各類風險事件的(de)發生情況，将系統防護日志進行數據化(huà)分(fēn)析的(de)可(kě)視化(huà)表現。并且提供了(le)豐富的(de)報表模闆，包括攻擊行爲分(fēn)布與來源、異常訪問行爲分(fēn)布與來源、阻斷行爲分(fēn)布與來源等，支持自定義報表的(de)統計屬性。通(tōng)過選用(yòng)報表模闆發布執行報表任務，能夠實現對風險日志及阻斷行爲進行各種粒度的(de)報表輸出、統計趨勢展示等。

産品優勢PRODUCT ADVANTAGE

強大(dà)的(de)協議兼容性

系統支持OCI/JDBC/OLEDB/ODBC等常見協議，能夠支持Oracle、MySQL、MSSQL、Sybase、DB2、達夢6/7、人(rén)大(dà)金倉、神州通(tōng)用(yòng)、InforMix、PostgreSQL、Gbase、Hive、MongoDB、Redis、TeraData、Cache、Kafka、ElasticSearch、HANA、MariaDB、Hbase等多(duō)種數據庫類型，幾乎涵蓋了(le)所有關系型數據庫和(hé)主流的(de)大(dà)數據平台，兼容性強。

細粒度的(de)訪問控制

系統采用(yòng)多(duō)因子的(de)認證方式，對數據庫訪問者的(de)身份進行多(duō)重鑒别。基于5W1H模型，能夠實現對數據庫訪問行爲的(de)訪問時間、訪問來源、使用(yòng)工具、目标對象以及具體操作進行多(duō)層次的(de)識别和(hé)認證，訪問控制粒度更全面、更精細。

全面的(de)策略體系

系統區别于傳統的(de)網絡防火牆，具有網絡和(hé)應用(yòng)行爲的(de)多(duō)個層次的(de)全方位防護體系。不僅能夠在TCP/IP協議棧的(de)2-4層上對源和(hé)目的(de)的(de)IP、端口号、MAC等進行訪問控制，更能夠實時監控數據庫操作行爲，對SQL注入攻擊和(hé)異常訪問等進行風險鑒别和(hé)非法阻斷。

高(gāo)可(kě)靠的(de)冗餘特性

系統提供透明(míng)部署模式下(xià)的(de)多(duō)重冗餘方案，提高(gāo)系統的(de)高(gāo)可(kě)靠性： 系統采用(yòng)雙機部署時，系統能夠實時同步各類安全策略配置，當主機出現異常時觸發主備切換，保持業務流量不中斷； 系統采用(yòng)單機部署時，當系統出現異常，通(tōng)過軟/硬件Bypass功能，能夠及時導通(tōng)業務通(tōng)道，防止系統出現單點故障導緻的(de)業務中斷。

安全易用(yòng)的(de)處理(lǐ)機制

使用(yòng)高(gāo)性能硬件平台、内核優化(huà)技術，滿足高(gāo)負載環境下(xià)的(de)性能要求； 智能學習，對數據庫訪問語句自動進行模式提取與分(fēn)類，并生成特征模型，避免規則的(de)複雜配置； 純透明(míng)的(de)部署方式，應用(yòng)程序的(de)使用(yòng)環境及授權用(yòng)戶的(de)數據庫操作管理(lǐ)過程均不會被改變。