一、概述
數(shù)據(jù)庫防火墻仿佛是近幾年來出現(xiàn)的一款新的安全設(shè)備,但事實上歷史已經(jīng)很長。2010年,Oracle公司在收購了Secerno公司,在2011年2月份正式發(fā)布了其數(shù)據(jù)庫防火墻產(chǎn)品(database firewall),已經(jīng)在市場上出現(xiàn)很多年頭了。由于數(shù)據(jù)庫防火墻這個詞通俗易懂,和防火墻、Web防火墻、下一代防火墻等主流安全產(chǎn)品一脈相承,很多公司也就把自己的數(shù)據(jù)(庫)安全產(chǎn)品命名為數(shù)據(jù)庫防火墻。每家公司對于數(shù)據(jù)庫防火墻的定義各不相同,側(cè)重點也不一樣。也就是說,雖然大家都在說數(shù)據(jù)庫防火墻,很有可能是兩個完全不同的數(shù)據(jù)(庫)安全設(shè)備。
二、什么是數(shù)據(jù)庫防火墻
數(shù)據(jù)庫防火墻顧名思義是一款數(shù)據(jù)(庫)安全設(shè)備,從防火墻這個詞可以看出,其主要作用是做來自于外部的危險隔離。換句話說,數(shù)據(jù)庫防火墻應(yīng)該在入侵在到達數(shù)據(jù)庫之前將其阻斷,至少需要在入侵過程中將其阻斷。
1. 如何定義外部?
至于如何定義外部威脅,則需要對于數(shù)據(jù)庫邊界進行明確的界定,而這個數(shù)據(jù)庫邊界的界定則具有多變性。第一種定義,從極限的角度來看,由于現(xiàn)在網(wǎng)絡(luò)邊界的模糊,可以把所有來自于數(shù)據(jù)庫之外的訪問都定義為外部。如果是這個定義來看,防火墻承載的任務(wù)非常繁重,可能不是一個安全設(shè)備所能夠承擔(dān)的。第二種定義是數(shù)據(jù)中心和運維網(wǎng)絡(luò)可以被定義為內(nèi)部訪問,其他訪問定義為外部訪問,讓防火墻不需要去承載內(nèi)部運維安全和員工安全,從而更好的工作。
綜合看來,我們采用第二種定義,數(shù)據(jù)庫防火墻主要承載數(shù)據(jù)中心和運維網(wǎng)絡(luò)之外的數(shù)據(jù)(庫)安全工作。
2. 如何定義數(shù)據(jù)庫防火墻?
一旦準(zhǔn)確的定義了什么是外部之后,什么是數(shù)據(jù)庫防火墻就比較清楚了。運維網(wǎng)絡(luò)之外的訪問我們都可以定義為業(yè)務(wù)訪問。
數(shù)據(jù)庫防火墻是一款抵御并消除由于應(yīng)用程序業(yè)務(wù)邏輯漏洞或者缺陷所導(dǎo)致的數(shù)據(jù)(庫)安全問題的安全設(shè)備或者產(chǎn)品。數(shù)據(jù)庫防火墻一般情況下部署在應(yīng)用程序服務(wù)器和數(shù)據(jù)庫服務(wù)器之間,采用數(shù)據(jù)庫協(xié)議解析的方式完成。但這并不是唯一的實現(xiàn)方式,你可以部署在數(shù)據(jù)庫外部,可以不采用協(xié)議解析。從這個定義可以看出,數(shù)據(jù)庫防火墻其本質(zhì)目標(biāo)是給業(yè)務(wù)應(yīng)用程序打補丁,避免由于應(yīng)用程序業(yè)務(wù)邏輯漏洞或者缺陷影響數(shù)據(jù)(庫)安全。