佛系随性笔记，记录最好的自己。

01

—

什么是数据库防火墙？

数据库防火墙是借助数据库协议分析和权限管控技术，再结合内置的数据库安全漏洞库，能够实时察觉、准确判别并有效拦截针对数据库的安全威胁，实现数据库高权限的管控、高危操作的阻断以及可疑行为的审计，为用户的业务稳定开展和数据安全筑牢坚实的防护屏障。

举个栗子来说，可以把数据库防火墙比喻成“孙悟空”，负责保护数据库“唐僧”，“孙悟空”有火眼金睛，它能一眼识别出那些伪装的妖精，比如（蜘蛛精勾引唐僧）SQL注入攻击，悟空会阻止它们接近“数据库”唐僧，孙悟空负责哪些人能接近师傅、哪些人不能。

02

—

数据库防火墙的功能

数据库防火墙功能-图1

这一块我只说大概的，现在的数据库防火墙有很多命名，也加入了很多细分功能，再加入一点运维人员管控的功能，类似数据库连接客户端、操作审批、本地保护、AI学习基线、TLS加密解析等等这些功能，就变成了数据库运维管理、也有叫数据库防水坝，这一块的产品主要功能还是数据库防护为主。

03

—

数据库防火墙的工作原理

数据库防火墙工作原理-图2

工作原理：

1、首先它会仔细弄明白数据库通信协议，搞清楚里面的关键信息，像谁在操作、要干啥、访问啥数据。 

2、然后按照提前定好的规矩和策略，看看访问请求合不合法。比如说，规定只有某些地方的用户能在特定时间访问某些特定的表。

3、接着把访问请求和它里面内置的规则匹配。要是规则里说某些 SQL 语句很危险，碰到这样的请求就拦住。它还会评估访问行为有没有风险。要是有人老是大量读数据，可能就觉得有问题。要是发现不合法或者风险高的访问请求，马上就拦住不让进。

4、而且它会一直把所有访问数据库的活动都记下来，不管成功还是被拦住的。最后，它还能通过学习以前的访问数据，不断改进自己的规则和策略，来应对新的安全威胁。

简单说，数据库防火墙就是通过这些办法，随时保护数据库的安全，不让不该进的人进来乱搞。

04

—

数据库防火墙的部署模式

这一块我只列举我知道的部署模式、各大厂商所支持部署模式各不相同，功能和性能上也有较大的区别。选择自己最合适的部署模式，才是最重要的。

桥接部署-图3

桥接部署：部署在服务器和库中间，不影响现有数据库访问方式。

反向代理-图4

反向代理：旁路部署在网络中，库和数据库防火墙网络可达即可，数据库防火墙代理数据库，影响现有数据库访问方式（反向代理可以简单理解为旁路部署、逻辑串联）。

路由部署-图5

路由部署：需要用户配置策略路由，将应用和数据库之间的“指定流量”先转发到数据库防火墙处理后，再转发至下一跳，数据库防火墙网络可达，不影响现有数据库访问方式。

旁路部署-图6

旁路部署：数据库防火墙旁路布署、给与镜像流量，不改变现有访问方式。（此部署模式不推荐，功能受限较为严重）。

桥接代理-图7

桥接代理：布署方式与桥接模式完全相同，但本质上是代理模式。

05

—

数据库防火墙的应用场景和价值

应用场景-图8

价值：数据安全-安全合规

06

—

数据库防火墙和传统防火墙的区别

数据库防火墙和传统防火墙区别-图9

07

—

题外话-怎么挑数据库防火墙

选择数据库防火墙考虑以下几点：

• 重点（库的兼容性）：确认现有需要防护的数据库，确认所支持库的版本类型、版本号（很多厂商都是支持某一个或几个版本，就忽悠，后期再定开，哈哈哈），这一块很重要，至于后面会详细调研一些库运行模式、字符集、集群节点、是不是加密数据库、是否修改过源码等等。

  
  

• 重点（性能）：对数据库进行相应的场景性能测试，看看效果，是否能接受部署后的延迟。

• 售后服务：选择有良好服务和支持的数据库防火墙厂商或供应商，能够及时提供技术支持、更新和升级等服务，保障数据库防火墙的正常运行和安全保护。

• 功能：不同的数据库防火墙具有不同的功能和特点，如访问控制、审计和监控、漏洞扫描和修复等。根据自己的需求和安全要求，选择具备所需功能和特点的数据库防火墙（这一块大多数厂商都能满足）。

深圳        

注释：如有失误，望批评指正！

后面会写下Windows和liunx的应急响应技巧、容器、还有一些网络安全、数据安全。

后台输入“Windows应急响应手册、linux应急响应手册、数据安全政策、数据安全治理、电力、工业、金融”有相关资料可供下载！