數據庫防火墻

中安威士數據庫防火墻系統(簡稱VS-FW),通過實時分析用戶對數據庫的訪問行為,自動建立合法訪問數據庫的特征模型,及時發現并阻斷SQL注入攻擊和違反企業規范的數據庫訪問請求。
售前咨詢 售后服務
  • 產品介紹
  • 產品功能
  • 特性優勢
  • 典型部署
  • 客戶價值
  • 客戶案例
產品介紹

中安威士數據庫防火墻系統(簡稱VS-FW),是由中安威士(北京)科技有限公司自主開發并具有完全知識產權的數據庫訪問控制類產品。該系統通過獨特的訪問控制和虛擬補丁等防護手段,能及時發現并阻斷SQL注入攻擊和違反企業規范的數據庫訪問請求。同時,可通過實時分析用戶對數據庫的訪問行為,自動建立合法訪問數據庫的特征模型。主要功能包括多因子認證、訪問控制、攻擊檢測、虛擬補丁、自動建模和審計等。該產品具有有效阻斷危險訪問、性能高和報表豐富等優勢,幫助企業有效保護核心數據,保障業務運營安全,并快速的滿足合規要求。

產品功能

1)  多因子認證

基于IP地址、MAC地址、用戶、應用程序、時間等因子對訪問者進行身份認證,形成多因子認證,彌補單一口令認證方式安全性的不足。應用程序對數據庫的訪問,必須經過數據庫防火墻和數據庫自身兩層身份認證。

2)  屏蔽直接訪問數據庫的通道

數據庫防火墻部署于數據庫服務器和應用服務器之間,屏蔽直接訪問數據庫的通道,防止數據庫隱通道對數據庫的攻擊。



3)  攻擊檢測和保護

實時檢測用戶對數據庫進行SQL注入和緩沖區溢出的攻擊,并報警或者阻止攻擊行為,同時詳細記錄攻擊操作發生的時間、來源IP、用戶名、攻擊代碼等信息。

4)  連接監控

實時監控數據庫的連接信息、風險狀態等,及時進行風險訪問控制。

5)  虛擬補丁

數據庫系統是個復雜的系統,自身存在很多漏洞,容易被攻擊者利用從而導致數據泄漏或致使系統癱瘓。由于需要保證業務連續性等多種原因,用戶通常不會及時對數據庫進行補丁安裝。中安威士數據庫防火墻通過內置的多種漏洞特征庫防止已知漏洞被掃描和利用,并有效降低數據庫被0Day攻擊的風險。

6)  行為基線——自動建立訪問模型

系統將自動學習每一個應用的訪問語句,進行模式提取和分類,自動生成行為特征模型,并可以對學習結果進行編輯。系統通過檢查訪問行為與基線的偏差來識別風險。

7)  安全審計

系統能夠記錄對數據庫服務器的訪問情況,包括用戶名、程序名、IP地址、請求的數據庫、連接斷開的時間、風險等信息,并提供靈活的查詢分析功能。

8)  報表

提供豐富的報表模板,包括各種審計報表、安全趨勢等。

特性優勢

1)   技術優勢

·   全自主技術體系: 形成高技術壁壘

·   高速分析技術:特殊數據包分析和轉發技術,實現高效的網絡通信內容過濾

·   多線程技術和緩存技術:支持高并發連接

·   基于BigTableMapReduce的存儲:單機環境高效、海量存儲

·   基于倒排索引的檢索:高效、靈活日志檢索,報表生成

2)   高安全性

· 全細粒度的訪問控制                                                  

· 可以靈活的對每個應用程序的訪問權限進行配置

· 支持黑名單、白名單規則

· ......

3)   高性能

· 連續處理能力: 4000~8萬以上SQL/s                                       

· 日志檢索速度: 1億條記錄,帶通配符模糊檢索,<30s

· 日志存儲能力: 30 ~100SQL/TB

4)   高可用性

·   基于硬件的Bypass功能,防止單點失敗

·   支持雙機熱備功能,保證連續服務能力

·   支持自動日志備份

·   支持SNMP、Syslog等日志外發

·   支持時間同步

·   多種部署方式可選擇,支持純透明部署

·   ......


典型部署

直路代理模式

將數據庫防火墻直連在數據庫之前,所有對數據庫的訪問流量都流經該設備進行過濾和轉發。防火墻可以不設IP地址,客戶端看到的數據庫的IP地址和MAC地址均不變。

單臂代理模式

將數據庫防火墻接入數據庫所在網絡,客戶端邏輯連接防火墻設備地址,所有對數據庫的訪問流量都流經該設備進行過濾和轉發。


數據庫審計和防火墻:混合部署

將數據庫防火墻接入數據庫所在網絡,客戶端邏輯連接防火墻設備地址,所有對數據庫的訪問流量都流經該設備進行過濾和轉發。同時將日志發給審計系統,與審計系統配合使用,對數據庫進行審計與防護。



客戶價值

保護核心數據資產,防止內外部攻擊造成的數據泄密

·   防止外部黑客攻擊,竊取數據:SQL注入、緩沖區溢出、權限盜用等

·   防止內部人員泄密,違規備份、權限濫用、誤操作等

·   防止運維人員和第三方人員違規訪問敏感數據

安全性與可用性的完美結合,對合法應用和用戶透明

·   智能學習,自動生成安全基線,無需手動復雜配置規則

·   高穩定性與高性能,支持雙機熱備,保障正常業務的連續性

·   不需要對應用程序作任何修改,不改變應用程序的使用環境

·  對于授權用戶的數據庫操作與管理等過程無需改變

洪晓芸张萱图片