数据库防火墙系统（VS-FW）

国保信安数据库防火墙系统，简称VS-FW。通过实时分析对数据库的访问流量，自动建立合法访问数据库的特征模型，发现和过滤对数据库的违规访问和攻击行为。主要功能包括：屏蔽直接访问数据库的通道、多因子认证、自动建模、攻击检测、访问控制、审计等。该产品具有高性能、大存储和报表丰富等优势。能为客户带来如下价值：

 自动识别用户对敏感数据的访问行为模式，识别数据库的安全威胁，并定期更新攻击特征库

 全面审核企业内部和外部人员对敏感数据的所有访问，提高数据安全管理能力

 报警并阻止对数据库的非法访问和攻击，完善纵深防御体系，提升整体安全防护能力

 避免核心数据资产被侵犯，保障业务安全运营

 丰富的报表，帮助企业满足合规审计要求，快速通过评测

  屏蔽直接访问数据库的通道

数据库防火墙部署于数据库服务器和应用服务器之间，屏蔽直接访问数据库的通道，防止数据库隐通道对数据库的攻击，见下图。

  多因子认证

基于IP地址、MAC地址、用户、应用程序、时间等因子对访问者进行身份认证，形成多因子认证，弥补单一口令认证方式安全性的不足。应用程序对数据库的访问，必须经过数据库防火墙和数据库自身两层身份认证。

  攻击检测和保护

实时检测用户对数据库进行的SQL注入和缓冲区溢出攻击。并报警或者阻止攻击行为，同时详细的记录攻击操作发生的时间、来源IP、用户名、攻击代码等信息。

  特征基线—自动建立访问模型

系统将自动学习每一个应用的访问语句，进行模式提取和分类，自动生成行为特征模型，并可以对学习结果进行编辑。系统通过检查访问行为与基线的偏差来识别风险。

  虚拟补丁

数据库系统是个复杂的系统，自身具有很多的漏洞，容易被攻击者利用从而导致数据泄漏或致使系统瘫痪。而由于需要保证业务连续性等多种原因，用户通常不会及时对数据库进行补丁安装。国保信安防火墙通过内置的多种策略防止已知漏洞被利用，并有效的降低数据库被零日攻击的风险。

  安全审计

系统能够审计对数据库服务器的访问情况。包括用户名、程序名、IP地址、请求的数据库、连接建立的时间、连接断开的时间、通信量大小、风险等信息。并提供灵活的查询分析功能。

  报表

提供丰富的报表模板，包括各种审计报表、安全趋势等。

  技术优势

全自主技术体系：形成高技术壁垒

高速分析技术：特殊数据包分析和转发技术，实现高效的网络通信内容过滤

多线程技术和缓存技术，支持高并发连接

基于BigTable和MapReduce的存储：单机环境高效、海量存储

基于倒排索引的检索：高效、灵活日志检索、报表生成

  高性能

连续处理能力：业界最高的SQL处理能力

日志检索速度：业界最快的模糊日志检索速度

日志存储能力: 业界最高的单位磁盘存储能力

  高可用性

基于硬件的Bypass功能，防止单点失败

支持双机热备功能，保证连续服务能力

支持自动日志备份

支持SNMP、Syslog日志外发

支持时间同步

  高安全性

细颗粒度的访问控制

可以灵活的对每个应用程序的访问权限进行配置

支持黑名单、白名单规则

国保信安数据库防火墙支持多种部署方式，适用于各种网络场景。

案例1：数据防火墙阻止社保信息泄漏

  需求背景

2015年5月，三十多个省市卫生和社保系统出现大量高危漏洞，上亿用户的社保信息因此被泄漏。社保系统包括居民身份证、社保、薪酬等敏感信息，一旦这些信息泄露，不仅是个人隐私全无，还会被犯罪分子利用来复制身份证、盗办信用卡、盗刷信用卡等进行刑事犯罪和经济犯罪。因此亟需相应的解决方案。

  解决方案

经研究，泄密的主要途径就是SQL注入攻击。在数据库之前以透明网关模式部署国保信安数据库防火墙，开启学习模式，经过1小时左右时间的学习，建立其应用对数据库访问的行为基线。进而进入工作模式，并开启阻断功能。所有对数据库的SQL注入攻击都会偏离基线，从而被阻止，从而从根本上阻止了SQL注入。

  有益结果

某省社保系统通过上述解决方案，有效地根治SQL注入攻击，提升了系统系统整体的防御效果，维护和提升了社保机构的形象和公信力。完善的日志还能协助安全事件取证和事后追溯，进一步的防止敏感信息的丢失和泄漏。

案例2：数据库防火墙保护互联网金融数据库免受攻击

  需求背景

互联网金融企业面临着严重的敏感数据安全问题。其客户信息（姓名、身份证、地址、电话、邮件等）、交易信息（交易时间、额度、盈亏情况）等敏感数据具有很高的价值，常常成为黑客攻击的目标。另外，企业内部数据分析人员也可能在利益的驱使下执行各种偏离业务的非法查询和分析语句。从而，亟需对数据库的攻击行为进行发现和阻断，并详细记录内部人员的访问行为，便于事后取证。

  解决方案

经过论证，在核心数据库集群前部署了国保信安的高性能数据库防火墙。采用直连代理方式，将系统对的目标数据库地址修改为防火墙地址。开启学习功能，学习到的语句模式经过人工两次鉴别后作为系统的白名单。对与前端网站系统产生的偏离白名单的访问行为进行阻断，并生成报警。对于内部的访问偏离行为，进行详细记录，由人工判断是否是违规访问。

  有益结果

某P2P公司通过上述解决方案，有效抵御各类SQL注入和权限滥用攻击，显著提升了数据安全防护水平。同时，能够轻松满足来自监管部门的合规性检查，也消除了客户对隐私安全的顾虑，从而促进了业务的开展。