数据库安全防火墙应具备哪些能力

进入互联网时代，由于数据库引发的安全事件越来越多，比如Facebook超过8700万条用户数据备泄露。数据库防火墙作为保护数据库安全必不可少的防御工事，越来越受到企业的关注。那么数据库防火墙究竟应具备哪些能力，才能为保护企业数据资产发挥应有的作用？

1、高可用性和高性能

数据库在企业中承载着关键核心业务，要保护这么重要的数据，当然要依靠安全性高的安全设备来防护。数据库防火墙是处于数据库和服务器之间起到防护作用的安全设备，部署数据库防火墙需要注意不能因为添加了防护设备而影响业务系统正常运行。

所以数据库防火墙必须具备高可用可高性能的特性和能力。当其中的安全设备出现故障时，可以自主切换到另外的安全设备正常运行，避免因为系统崩溃或者系统维护导致业务受到影响，同时防止高并发的数据访问因为数据库防火墙的部署而影响业务系统正常运作。

2、访问控制

很多企业数据泄露的原因是应用系统存在权限控制漏洞，对于某些非法访问、高危操作，无法进行控制，防止数据库泄露需要数据库防火墙具备管理和控制的能力。防止大量的外部账号撞库，在密码输入次数上进行限制，锁定频繁的密码输入终端。

对于敏感信息设置访问权限，避免重要的信息泄露，大量数据导出、删除行为应当控制，防止大量的数据丢失。记录敏感信息访问记录，以便风险分析和问题追溯。对不同身份的人，进行准入控制，制定准入的规则，比如像人的身份证一样，只有具备了这个身份，识别出真实访问者，才能够进行相应的访问。

3、入侵防护功能

黑客会利用Web应用漏洞，进行SQL注入，或以Web应用服务器为跳板，利用数据库自身漏洞攻击和侵入。数据库防火墙每天都需要面对外部环境成千上万次的各类攻击，需要对访问者的访问行为和特征进行检测，并对危险行为进行防御，防御的方式主要有：漏洞攻击防御、SQL注入攻击防御、敏感数据泄露防御。

4、风险监控

当数据库数量少的时候，通过人工的方式监控问题不大，但是当数据库数量大，而数据库防火墙又需要管理多个数据库的时候，人工则难以监控数据库的整体安全状况，这个时候需要建立统一的安全监控平台，当出现风险的时候能够快速定位的数据库，锁定攻击端的来源。

5、报警提醒

除了监控数据库的安全状况，同时还需要对监测和识别出来的危险信息进行实时报警提醒。对于任何不认识或者识别异常的信息，包括：新发现的IP地址，应用程序，数据库账户，应用账户，访问对象，访问操作，SQL语句等，系统可以采用多种形式进行提醒，以便数据库维护人员及时采取应对措施。