美(měi)創數據庫防火牆(規格型号:DF(萬兆);版本号:V3.0;産品序列号:E6GGVJ24030954)是美(měi)創科技在數據庫安全及數據庫協議十餘年研究的(de)經驗積累上,結合國内外數據庫安全防護标準推出的(de)一款抵禦并消除由于應用(yòng)程序業務邏輯漏洞或者缺陷所導緻的(de)數據庫安全問題的(de)專業級數據庫安全設備。其主要作用(yòng)是做(zuò)來自于外部的(de)危險隔離。主要部署在業務應用(yòng)側,用(yòng)于防止外部黑(hēi)客的(de)數據庫入侵行爲。
美(měi)創科技數據庫防火牆采用(yòng)全面的(de)數據庫通(tōng)訊協議解析,通(tōng)過SQL協議分(fēn)析,和(hé)SQL注入特征抽象技術,能快(kuài)速有效的(de)捕獲SQL注入的(de)行爲特征,根據預定的(de)SQL白名單策略決定讓合法的(de)SQL操作通(tōng)過執行,對符合SQL注入特征的(de)可(kě)疑的(de)非法違規操作進行阻斷,從而形成一個數據庫的(de)外圍防禦圈,真正做(zuò)到SQL危險操作的(de)主動預防、實時審計。
數據庫防火牆産品架構
數據庫防火牆核心功能
1.認知SQL注入生命周期,主動防禦SQL注入攻擊——美(měi)創數據庫防火牆可(kě)通(tōng)過白名單識别千變萬化(huà)的(de)SQL注入攻擊,并在其生命周期的(de)不同階段進行主動性防禦。
· 白名單與注入特征庫
· 注入攻擊檢測與響應
· 白名單智能化(huà)收集與部署
· 智能化(huà)檢測未知風險
· 後續行爲檢測與控制
2.實時檢測并阻斷數據庫漏洞攻擊——美(měi)創數據庫防火牆依據漏洞特征進行漏洞攻擊檢測,阻斷漏洞攻擊。
· SQL白名單防禦機制
SQL注入成功必須借助應用(yòng)程序的(de)安全漏洞,SQL白名單正确過濾有效信息,有效地檢測和(hé)防禦來自于SQL注入的(de)數據庫漏洞攻擊。
· 實時檢測漏洞和(hé)虛拟補丁
美(měi)創數據庫防火牆通(tōng)過高(gāo)效的(de)SQL語法分(fēn)析功能,可(kě)以識别數據庫漏洞,采用(yòng)虛拟補丁修補數據庫漏洞的(de)方式進行實時修複。
· 防火牆與數據庫防水(shuǐ)壩共同作用(yòng)
對于突破到網絡内部的(de)入侵者發起的(de)漏洞攻擊,美(měi)創數據庫防火牆聯合數據庫防水(shuǐ)壩共同進行檢測并阻斷,實現全面綜合防禦。
數據庫防火牆産品優勢
· 靈活的(de)部署模式
美(měi)創數據庫防火牆支持旁路,透明(míng)網橋,反向代理(lǐ),透明(míng)代理(lǐ)等部署模式,滿足客戶各種網絡環境的(de)部署,支持SSL加密鏈路的(de)透明(míng)代理(lǐ),做(zuò)到SQL請求的(de)阻斷和(hé)SQL session的(de)阻斷。
· SQL白名單和(hé)自動建模引擎
内置學習引擎通(tōng)過自動學習,針對合法的(de)SQL語句以及已有應用(yòng)的(de)使用(yòng)構建動态模型,形成SQL白名單。
· SQL注入威脅識别與阻斷
通(tōng)過SQL語義分(fēn)析,并根據注入攻擊不同時期的(de)行爲特征,構建SQL注入威脅識别引擎,準确判斷出惡意SQL語句,并執行用(yòng)戶預設的(de)動作。系統内置數百條SQL注入特征庫,定時發布特征庫更新包,同時支持用(yòng)戶自定義添加規則,有效防禦因應用(yòng)程序缺陷等導緻的(de)SQL注入風險。
· 數據庫虛拟補丁
系統提供了(le)數據庫虛拟補丁功能,能夠在數據庫系統不升級的(de)情況下(xià),完成邏輯上的(de)補丁升級,避免數據庫系統因軟件未升級而導緻的(de)威脅,有效的(de)保障了(le)數據庫系統的(de)正常穩定運行。
· 優異的(de)SQL處理(lǐ)性能
美(měi)創自主研發的(de)網絡代理(lǐ)引擎,使得(de)SQL處理(lǐ)性能達到12萬/秒以上,平均單條SQL時延控制在1ms以内。滿足絕大(dà)多(duō)數用(yòng)戶場景需求。