技術文章

當前頁面︰ 首頁 >技術文章 >數據庫防火牆技術及應用解析

平安彩票网 - 平安彩票官方开奖网_平安彩票网app下载

供稿︰中國工控網 2018/5/23 13:03:44

0 人氣︰169

  • 關鍵詞︰ 數據庫 防火牆
  • 摘要︰數據庫防火牆顧名思義是一款數據(庫)安全設備,從防火牆這個詞可以看出,其主要作用是做來自于外部的危險隔離。換句話說,數據庫防火牆應該在入侵在到達數據庫之前將其阻斷,至少需要在入侵過程中將其阻斷。

一、概述

數據庫防火牆仿佛是近幾年來出現的一款新的安全設備,但事實上歷史已經很長。2010年,Oracle公司在收購了Secerno公司,在2011年2月份正式發布了其數據庫防火牆產品(database firewall),已經在市場上出現很多年頭了。由于數據庫防火牆這個詞通俗易懂,和防火牆、Web防火牆、下一代防火牆等主流安全產品一脈相承,很多公司也就把自己的數據(庫)安全產品命名為數據庫防火牆。每家公司對于數據庫防火牆的定義各不相同,側重點也不一樣。也就是說,雖然大家都在說數據庫防火牆,很有可能是兩個完全不同的數據(庫)安全設備。

二、什麼是數據庫防火牆

數據庫防火牆顧名思義是一款數據(庫)安全設備,從防火牆這個詞可以看出,其主要作用是做來自于外部的危險隔離。換句話說,數據庫防火牆應該在入侵在到達數據庫之前將其阻斷,至少需要在入侵過程中將其阻斷。

1. 如何定義外部?

至于如何定義外部威脅,則需要對于數據庫邊界進行明確的界定,而這個數據庫邊界的界定則具有多變性。第一種定義,從極限的角度來看,由于現在網絡邊界的︰,可以把所有來自于數據庫之外的訪問都定義為外部。如果是這個定義來看,防火牆承載的任務非常繁重,可能不是一個安全設備所能夠承擔的。第二種定義是數據中心和運維網絡可以被定義為內部訪問,其他訪問定義為外部訪問,讓防火牆不需要去承載內部運維安全和員工安全,從而更好的工作。

綜合看來,我們采用第二種定義,數據庫防火牆主要承載數據中心和運維網絡之外的數據(庫)安全工作。

2. 如何定義數據庫防火牆?

一旦準確的定義了什麼是外部之後,什麼是數據庫防火牆就比較清楚了。運維網絡之外的訪問我們都可以定義為業務訪問。

數據庫防火牆是一款抵御並消除由于應用程序業務邏輯漏洞或者缺陷所導致的數據(庫)安全問題的安全設備或者產品。數據庫防火牆一般情況下部署在應用程序服務器和數據庫服務器之間,采用數據庫協議解析的方式完成。但這並不是唯一的實現方式,你可以部署在數據庫外部,可以不采用協議解析。從這個定義可以看出,數據庫防火牆其本質目標是給業務應用程序打補。  庥捎謨τ貿絛蛞滴鼫F ┐椿蛘呷畢縈跋焓庫)安全。

常見的應用程序業務邏輯漏洞和缺陷︰

SQL注入攻擊

cc攻擊

非預期的大量數據返回

敏感數據未脫敏

頻繁的同類操作

超級敏感操作控制

身份盜用和撞庫攻擊

驗證繞行和會話劫持

業務邏輯混亂

3. 數據庫防火牆的常見應用場景

(1) SQL注入攻擊

SQL注入攻擊是數據庫防火牆的核心應用場景,甚至可以說數據庫防火牆就是為了防御SQL注入攻擊而存在的。SQL注入攻擊是很古老的攻擊手段,特別是互聯網普及之後,一直是主流的安全攻擊手段。需要特別注意的是,SQL注入攻擊的發生不是由于數據庫的漏洞導致,而是因為應用程序漏洞和缺陷導致,但是受到傷害和影響的則是數據庫。我們的業務應用程序是水平參差不齊的公司和工程師撰寫,其代碼質量會遠遠比不上Oracle,微軟等大牌公司的產品,SQL注入以及其他可能的漏洞和缺陷存在是必然的事件。甚至可以認為,只要復雜度超越一定程度的任何業務應用程序都會存在SQL注入漏洞。

SQL注入攻擊之所以難以防御,其主要原因是其攻擊是通過業務應用程序發起的,傳統上部署的所有安全措施對于SQL注入攻擊基本無效,使其可以簡單到達企業最為核心的數據庫內部。

(2) cc攻擊

即使一個沒有任何缺陷的應用程序也可以簡單的發起cc攻擊。每個應用程序都會存在資源消耗特別高的某些操作,入侵者只要同時調度這些高資源消耗的操作,就會導致數據庫服務器失去響應。

(3) 非預期的大量數據返回

由于應用程序缺陷,在某些操作中返回了計劃之外的大量數據。大量數據返回很容易引起安全性問題。

(4) 敏感數據未脫敏

由于歷史原因,現有應用程序很少對于敏感數據進行脫敏顯示。為了遵循新的安全法規和規則,為了更好的保護客戶和公司,在很多情況下我們需要對于應用程序返回數據進行脫敏。

(5) 頻繁的同類操作

通過應用程序不斷的頻繁獲取敏感信息資料是敏感信息泄露的主要通道之一,數據庫防火牆可以通過延遲,通知等響應方式來降低此類數據泄露風險。

(6) 超級敏感操作控制

很多應用程序往往存在著權限控制漏洞,無法控制某些敏感操作。比如統方,比如絕密資料的獲取等等。

(7) 身份盜用和撞庫攻擊

撞庫攻擊是互聯網最大的安全風險之一,絕大部分撞庫攻擊都是為了身份盜用。

(8) 驗證繞行和會話劫持

由于應用程序缺陷導致起驗證安全機制沒有生效,比如驗證碼等,或者會話被劫持導致業務應用程序被非法控制。

(9) 業務邏輯混亂

由于應用程序漏洞導致業務邏輯混亂,比如在審批中不檢查前置流程的存在性和合規性,直接觸發下一個流程。

4. 數據庫漏洞檢測防御和數據庫防火牆

大家可以觀察到,很多數據庫防火牆都具有數據庫漏洞檢測和虛擬布丁等功能,甚至于把數據庫漏洞檢測防御變成了數據庫防火牆的核心功能。這個是對于數據庫防火牆理解的典型誤區,數據庫防火牆的核心是檢測和防御業務應用程序漏洞而不是數據庫漏洞。

當然數據庫防火牆部署數據庫漏洞檢測也有其邏輯基。旱比肭終咄 滴裼τ貿絛蚵┐慈肭質菘,特別是SQL注入攻擊的時候,入侵者為了獲取更大的入侵收益,往往會利用數據庫漏洞進行進一步攻擊。從緊密流程環節來看,在很多場合下,數據庫漏洞攻擊可以被看作SQL注入攻擊的一個環節,一個成果擴大環節。

三、數據庫防火牆和Web防火牆

1. Web防火牆

很多人可能會問,Web防火牆也能夠防御SQL注入攻擊,我為什麼還要部署數據庫防火牆?首先我們來看看WAF能做些什麼︰

SQL注入攻擊

XSS攻擊

CSRF攻擊

SSRF攻擊

Webshell後門

弱口令

反序列化攻擊

命令/代碼執行

命令/代碼注入

本地/遠程文件包含攻擊

文件上傳攻擊

敏感信息泄露

XML實體注入

XPATH注入

LDAP注入

其他

從這個列表看,顯然Web防火牆和數據庫防火牆所承載的目標區別比較大,SQL注入攻擊攻只是兩種不同防火牆的為數不多的交叉點。

2. 數據庫防火牆是SQL注入防御的終極解決方案

數據庫防火牆和Web防火牆部署位置的不同,決定了兩種不同產品對于SQL注入攻擊的防御策略和效果會大不相同。

部署位置︰Web防火牆作用在瀏覽器和應用程序之間,數據庫防火牆作用在應用服務器和數據庫服務器之間。

作用協議︰Web防火牆作用在Http協議上,數據庫防火牆一般作用在數據庫協議上,比如Oracle SQL*Net,MSSQL TDS等。

Web防火牆作用在瀏覽器和應用程序之間,使他只能夠看得見用戶提交的相關信息,而用戶提交信息往往只是數據庫SQL語句的一個碎片,缺乏對于數據庫SQL的全局認知,更加不用說SQL語句的上下文關系了。Web防火牆只能做一些基于常規異常特征以及出現過的特征進行識別和過濾,使Web防火牆的SQL注入攻擊防御效果依賴于攻擊者的水平和創意,只要攻擊者具有一定的創意,Web防火牆很難防御SQL注入攻擊。

數據庫防火牆作用在應用服務器和數據庫服務器之間,看到的是經過了復雜的業務邏輯處理之後最後生成的完整SQL語句,也就是說是攻擊者的最終表現形態,已經撕去了大量的偽裝。由于看到的是缺乏變化的最終形態,使數據庫防火牆可以比較Web防火牆采用更加積極的防御策略,比如守白知黑策略進行異常SQL行為檢測,100%防御SQL注入攻擊。即使簡單采用和Web防火牆類似的黑名單策略,由于看到的信息使完整的最終信息,使其防御難度比較Web防火牆大幅度下降,防御效果自然會更好。

3. 更多的訪問通道

通過http服務應用訪問數據庫只是數據庫訪問中的一種通道和業務,還有大量的業務訪問和http無關,這些http無關的業務自然就無法部署web防火牆,只能依賴于數據庫防火牆來完成。

四、總結

1. 數據庫防火牆主要用來防御外部入侵風險,需要和內部安全管控適當分開。

2. 數據庫防火牆主要聚焦點是通過修復應用程序業務邏輯漏洞和缺陷來降低或者消除數據(庫)安全風險。SQL注入攻擊是其核心防御風險,而數據庫漏洞攻擊檢測和防御則並不是必須的。

3. 由于SQL注入攻擊和數據庫漏洞攻擊的伴生性,數據庫防火牆往往具備數據庫漏洞檢測和防御功能。

4. Web防火牆不能替代數據庫防火牆,Web防火牆是SQL注入攻擊的第一道防線,數據庫防火牆則是SQL注入攻擊的終極解決方案。

審核編輯(王靜)
更多內容請訪問 中國工控網(http://www.getviagrarx.com)

手機掃描二維碼分享本頁

工控寶APP下載安裝

工控速派APP下載安裝

 

我來評價

評價︰
一般