進(jìn)入互聯(lián)網(wǎng)時(shí)代，由于數(shù)據(jù)庫引發(fā)的安全事件越來越多，比如Facebook超過8700萬條用戶數(shù)據(jù)備泄露。數(shù)據(jù)庫防火墻作為保護(hù)數(shù)據(jù)庫安全必不可少的防御工事，越來越受到企業(yè)的關(guān)注。那么數(shù)據(jù)庫防火墻究竟應(yīng)具備哪些能力，才能為保護(hù)企業(yè)數(shù)據(jù)資產(chǎn)發(fā)揮應(yīng)有的作用？

1、高可用性和高性能

數(shù)據(jù)庫在企業(yè)中承載著關(guān)鍵核心業(yè)務(wù)，要保護(hù)這么重要的數(shù)據(jù)，當(dāng)然要依靠安全性高的安全設(shè)備來防護(hù)。數(shù)據(jù)庫防火墻是處于數(shù)據(jù)庫和服務(wù)器之間起到防護(hù)作用的安全設(shè)備，部署數(shù)據(jù)庫防火墻需要注意不能因?yàn)樘砑恿朔雷o(hù)設(shè)備而影響業(yè)務(wù)系統(tǒng)正常運(yùn)行。

所以數(shù)據(jù)庫防火墻必須具備高可用可高性能的特性和能力。當(dāng)其中的安全設(shè)備出現(xiàn)故障時(shí)，可以自主切換到另外的安全設(shè)備正常運(yùn)行，避免因?yàn)橄到y(tǒng)崩潰或者系統(tǒng)維護(hù)導(dǎo)致業(yè)務(wù)受到影響，同時(shí)防止高并發(fā)的數(shù)據(jù)訪問因?yàn)閿?shù)據(jù)庫防火墻的部署而影響業(yè)務(wù)系統(tǒng)正常運(yùn)作。

2、訪問控制

很多企業(yè)數(shù)據(jù)泄露的原因是應(yīng)用系統(tǒng)存在權(quán)限控制漏洞，對于某些非法訪問、高危操作，無法進(jìn)行控制，防止數(shù)據(jù)庫泄露需要數(shù)據(jù)庫防火墻具備管理和控制的能力。防止大量的外部賬號撞庫，在密碼輸入次數(shù)上進(jìn)行限制，鎖定頻繁的密碼輸入終端。

對于敏感信息設(shè)置訪問權(quán)限，避免重要的信息泄露，大量數(shù)據(jù)導(dǎo)出、刪除行為應(yīng)當(dāng)控制，防止大量的數(shù)據(jù)丟失。記錄敏感信息訪問記錄，以便風(fēng)險(xiǎn)分析和問題追溯。對不同身份的人，進(jìn)行準(zhǔn)入控制，制定準(zhǔn)入的規(guī)則，比如像人的身份證一樣，只有具備了這個(gè)身份，識別出真實(shí)訪問者，才能夠進(jìn)行相應(yīng)的訪問。

3、入侵防護(hù)功能

黑客會利用Web應(yīng)用漏洞，進(jìn)行SQL注入，或以Web應(yīng)用服務(wù)器為跳板，利用數(shù)據(jù)庫自身漏洞攻擊和侵入。數(shù)據(jù)庫防火墻每天都需要面對外部環(huán)境成千上萬次的各類攻擊，需要對訪問者的訪問行為和特征進(jìn)行檢測，并對危險(xiǎn)行為進(jìn)行防御，防御的方式主要有：漏洞攻擊防御、SQL注入攻擊防御、敏感數(shù)據(jù)泄露防御。

4、風(fēng)險(xiǎn)監(jiān)控

當(dāng)數(shù)據(jù)庫數(shù)量少的時(shí)候，通過人工的方式監(jiān)控問題不大，但是當(dāng)數(shù)據(jù)庫數(shù)量大，而數(shù)據(jù)庫防火墻又需要管理多個(gè)數(shù)據(jù)庫的時(shí)候，人工則難以監(jiān)控?cái)?shù)據(jù)庫的整體安全狀況，這個(gè)時(shí)候需要建立統(tǒng)一的安全監(jiān)控平臺，當(dāng)出現(xiàn)風(fēng)險(xiǎn)的時(shí)候能夠快速定位的數(shù)據(jù)庫，鎖定攻擊端的來源。

5、報(bào)警提醒

除了監(jiān)控?cái)?shù)據(jù)庫的安全狀況，同時(shí)還需要對監(jiān)測和識別出來的危險(xiǎn)信息進(jìn)行實(shí)時(shí)報(bào)警提醒。對于任何不認(rèn)識或者識別異常的信息，包括：新發(fā)現(xiàn)的IP地址，應(yīng)用程序，數(shù)據(jù)庫賬戶，應(yīng)用賬戶，訪問對象，訪問操作，SQL語句等，系統(tǒng)可以采用多種形式進(jìn)行提醒，以便數(shù)據(jù)庫維護(hù)人員及時(shí)采取應(yīng)對措施。