4008916618
产品概述
数据库防火墙系统(DF2000-TS)

数据库防火墙系统是一种主动的数据库安全防御系统。它在线部署应用服务器与数据库服务器之间,具备SQL语句级的访问控制、数据库漏洞防护、数据库在线脱敏等多功能,实时监控、识别、阻断外部黑客攻击以及内部高权限用户的数据窃取行为,应对来自外部和内部的数据安全威胁。


产品价值
  • 细粒度的权限控制,防止内部人员违规操作
    可对内部系统维护人员、外包人员、开发人员等特权用户进行细粒度的权限控制,限制访问业务数据表的权限,限制并阻断针对数据库的高危操作行为,如无where的更新和删除操作、大批量下载数据、删除表格等行为。
  • 漏洞主动防御机制,防止外部黑客攻击
    精确识别和阻断SQL注入、权限提升、拒绝防护等千种漏洞攻击行为,同时通过虚拟补丁技术为数据库外创建了一个安全层,在用户无需补丁情况下,完成数据库漏洞防护,有效抵御黑客利用应用服务器漏洞或者数据库漏洞攻击的行为。
  • 保护核心数据资产,防止敏感数据泄露
    可根据用户名、IP地址、应用程序名、时间等不同参数来限定敏感数据查询和下载数量,并提供对有数据访问行为的记录,对风险行为进行短信、邮件、SNMP、Syslog等方式的告警,避免内外部人员泄密的风险。
  • 数据库安全可视化,及时掌握安全态势
    可直观展现出数据库安全系数、数据库漏洞分布、数据库安全趋势,安全策略命中分布、SQL压力等信息,并能生成可读性强的安全报表,协助用户技术掌握数据库安全态势。
产品优势
  • 性能领先
    提供访问控制、漏洞防护、安全审计、在线脱敏、业务智能感知、双机热备、BYpass等功能。能够有效避免因外部攻击、内部非法操作以及误操作所带来的数据被窃取、被删除、被篡改等风险。
  • 功能全面
    采用国际领先的、适合数据库防火墙产品特性的硬件平台,借助多路并行总线技术可提供国内同行业产品领先的SQL处理能力,通过端口高速转发技术实现毫秒级的延迟。
  • 部署模式
    支持在线透明部署、在线桥接部署、代理部署等多种部署方式,能够满足不同的部署场景需求;支持业务智能感知功能,能够自动生成访问控制策略模型,同时内做多种数据库防护策略模板,可以有效减少部署时间,提高策略准确度。
  • 高可靠性
    产品关键部件均采用冗余设计,支持双机热备,软硬件Bypass等可靠性技术,确保系统在各种未知的突发情况发生时,能够快速切换至正常状态,保证整个网络的稳定安全。
主要功能
  • 数据库兼容性 支持oracle、mysql、DB2、Sybase、达梦、南大通用、人大金仓、浪潮KDB等超过15种数据库的安全防护。
  • 访问控制 提供比DBMS系统粒度更细的第三方权限控制系统,能够基于IP、SQL语句,操作时间、客户端、关键字、表、列等条件制定访问规则,同时内置多种数据库策略防护模板,便于快速部署。
  • 数据库漏洞防护 依托公司专业的数据库漏洞研究团队能够支持近千种数据库安全漏洞的检测和防护,能够抵御SQL注入、缓冲区溢出、提权漏洞、拒绝服务等漏洞攻击行为。
  • 业务智能感知 智能学习功能能够学习用户访问数据库的行为,自动生成访问策略模型,降低运维人员策略配置的复杂度。同时能将用户访问行为与策略模型进行比对,增加了防御攻击的精确性。
  • 双机热备、Bypass 双机热备:提供配置同步的双机功能,实时备份数据库防火墙的配置和日志信息,一旦设备出现故障,及时进行切换,避免业务中断。 Bybass:可手动指定在内存、CPU使用率过高或者硬件故障、电源故障时,自动切换至直通状态,不在进行策略防护,避免成为单点故障,造成业务中断。
应用场景

在线透明部署:

通过在线透明的部署方式串接在数据库前,对数据库进行访问控制;并具有软硬件Bypass功能,提高数据库服务的可用性。

防火墙部署方式图1.jpg

串联路由模式:

通过在线将数据库防火墙直连在数据库服务器之前,防火墙具有独立的IP地址,所有对数据库的访问流量经该设备进行过滤和转发。

防火墙部署方式图2.jpg

旁路代理模式:

通过旁路部署的方式将数据库防火墙接入到数据库所在网络中,数据库防火墙采用反向代理模式,所以对数据库的访问流量都经过数据库防火墙进行过滤转发。

防火墙部署方式图3.jpg