根据市场调查数据显示,很多用户认为,传统防火墙、下一代防火墙、WAF、堡垒机等传统网络安全产品或多或少包含数据库防护功能,能够解决数据库安全问题。本文笔者打一个形象的比喻,将整个信息安全系统比作一个政府大院, 那么传统防火墙、下一代防火墙、WAF、堡垒机、数据库防火墙, 分别可以比喻为“大门”、“传达室”、“门卫”、“大管家”等个角色。从进入大门开始,各产品的价值体现与数据库防火墙的根本差异,一目了然。
“大门”——传统防火墙
传统防火墙相当于信息系统的“大门”。“大门” 顾名思义,指整个建筑物通向外面的唯一路径,直接起到拦截或放行的作用。但是,大门无法对“进门人”的好坏进行区分,比如对“人员面貌特征”、“携带违禁品”等问题更是无法检查。
传统的防火墙一般使用在网络的出口处,基本原理是根据IP 地址/端口号或协议标识符识别和分类网络流量,并执行相关的策略。所以对于WEB2.0 应用来说,传统防火墙看到的所有基于浏览器的应用程序的网络流量是完全一样的,无法区分各种应用程序,更无法实施策略来区分哪些是不需要的或不适当的程序,对于数据库网络通讯无任何的安全防护能力。
“传达室”——下一代防火墙
下一代防火墙相当于是信息系统的“传达室”。“传达室”负责看门、登记、收发资料和引导来宾等工作,在检查过程中对人员身份证件、面貌特征等进行简单检查,并引导正确的位置, 但是人员进入后随意溜达并接近或逗留于核心业务位置,“传达室”就鞭长莫及了。
下一代防火墙同样部署在全网出口处,比起传统防火墙检测广度增加,集成了传统防火墙、IPS、防病毒、防垃圾邮件等诸多功能,可以对上百种应用层的通讯协议进行解析,但所解析的协议都限于标准通讯协议,如FTP、邮件、LDAP、Telnet 等,对一些针对标准协议的攻击行为进行防范;但对于数据库这样的非标准化通讯协议,协议的复杂度很高,当前市场上的主流下一代防火墙产品还未能实现对数据库通讯协议的解析和防护。因此,下一代防火墙自然对数据库安全的防护“ 有心无力”。
“门卫”——WEB应用防火墙(WAF)
WAF相当于是信息系统“门卫 ”。“门卫”是某个建筑物或重要部位的警卫,与“大门”、“ 传达室” 不同,门卫对所把守建筑物内部情况非常了解,对进出人员特征也分辨清晰,一旦有非内部可信人员试图进入,门卫就会细细检查盘问,但针对进入内部后的作案行为便无计可施了。
WAF串行部署在信息系统前端,提升了系统的攻击防御能力,WAF原理主要是对Http协议的解析,并对Http 协议中的传输内容进行分析,依靠正则式和简单规则库可以实现对部分SQL注入行为的阻止,由于WAF的专注程度定位在系统防攻击、防篡改等措施上,对于复杂的SQL注入和数据库攻击行为仅进行匹配,WAF就应接不暇了,并且早在2012年黑客大会就公布了150多种可以绕开WAF实现对数据库的攻击技术。因此不难看出WAF主要重点在于系统防护,针对数据库的安全防护措施,基本属于“蜻蜓点水”。
“大管家”——运维堡垒机
运维堡垒机相当于信息系统的“大管家”,帮助主人集中管理协调信息内办公人员,由于不同的人需要用不同的劳动工具,进行不同的业务操作,因此大管家还安装了摄像头,监督记录大家的工作。大管家也会有难以管控之处,无法更细粒度地控制大家使用工具时都进行了哪些具体操作,或者谁进行了误操作;大管家同样无法防止对方绕过自己偷偷到系统禁地做些手脚,也无法防止内部工作人员做了内应,进行一些不良操作,如果有些开发人员在业务系统中直接种植后门程序, 这位“大管家”是看不到的。
运维堡垒机串行部署在运维终端与主机、数据库之间, 通过这种部署方式,可以实现对主机设备和数据库的集中管控,堡垒机可实现运维过程中统一认证、统一授权、统一审计。但堡垒机只能通过录屏的方式进行录像审计,无法更细力度地控制大家在工具内的操作,无法针对数据库管理员误操作的行为进行识别并加以阻止,也无法防止有些开发人员在业务系统中直接种植后门程序,针对大批量访问敏感表并造成信息泄密的行为无能为力。 |
