根據(jù)市場調(diào)查數(shù)據(jù)顯示�����,很多用戶認(rèn)為����,傳統(tǒng)防火墻、下一代防火墻�����、WAF���、堡壘機(jī)等傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品或多或少包含數(shù)據(jù)庫防護(hù)功能���,能夠解決數(shù)據(jù)庫安全問題。本文筆者打一個形象的比喻���,將整個信息安全系統(tǒng)比作一個政府大院����, 那么傳統(tǒng)防火墻、下一代防火墻�、WAF、堡壘機(jī)�����、數(shù)據(jù)庫防火墻����, 分別可以比喻為“大門”、“傳達(dá)室”�、“門衛(wèi)”、“大管家”等個角色���。從進(jìn)入大門開始,各產(chǎn)品的價值體現(xiàn)與數(shù)據(jù)庫防火墻的根本差異���,一目了然����。
“大門”——傳統(tǒng)防火墻
傳統(tǒng)防火墻相當(dāng)于信息系統(tǒng)的“大門”�����!按箝T” 顧名思義��,指整個建筑物通向外面的唯一路徑�,直接起到攔截或放行的作用。但是����,大門無法對“進(jìn)門人”的好壞進(jìn)行區(qū)分,比如對“人員面貌特征”�、“攜帶違禁品”等問題更是無法檢查。
傳統(tǒng)的防火墻一般使用在網(wǎng)絡(luò)的出口處�,基本原理是根據(jù)IP 地址/端口號或協(xié)議標(biāo)識符識別和分類網(wǎng)絡(luò)流量,并執(zhí)行相關(guān)的策略�。所以對于WEB2.0 應(yīng)用來說,傳統(tǒng)防火墻看到的所有基于瀏覽器的應(yīng)用程序的網(wǎng)絡(luò)流量是完全一樣的�,無法區(qū)分各種應(yīng)用程序,更無法實(shí)施策略來區(qū)分哪些是不需要的或不適當(dāng)?shù)某绦��,對于?shù)據(jù)庫網(wǎng)絡(luò)通訊無任何的安全防護(hù)能力���。
“傳達(dá)室”——下一代防火墻
下一代防火墻相當(dāng)于是信息系統(tǒng)的“傳達(dá)室”����!皞鬟_(dá)室”負(fù)責(zé)看門�����、登記�����、收發(fā)資料和引導(dǎo)來賓等工作��,在檢查過程中對人員身份證件�、面貌特征等進(jìn)行簡單檢查,并引導(dǎo)正確的位置��, 但是人員進(jìn)入后隨意溜達(dá)并接近或逗留于核心業(yè)務(wù)位置����,“傳達(dá)室”就鞭長莫及了。
下一代防火墻同樣部署在全網(wǎng)出口處����,比起傳統(tǒng)防火墻檢測廣度增加�,集成了傳統(tǒng)防火墻、IPS�、防病毒、防垃圾郵件等諸多功能��,可以對上百種應(yīng)用層的通訊協(xié)議進(jìn)行解析,但所解析的協(xié)議都限于標(biāo)準(zhǔn)通訊協(xié)議�,如FTP、郵件���、LDAP���、Telnet 等,對一些針對標(biāo)準(zhǔn)協(xié)議的攻擊行為進(jìn)行防范;但對于數(shù)據(jù)庫這樣的非標(biāo)準(zhǔn)化通訊協(xié)議�����,協(xié)議的復(fù)雜度很高����,當(dāng)前市場上的主流下一代防火墻產(chǎn)品還未能實(shí)現(xiàn)對數(shù)據(jù)庫通訊協(xié)議的解析和防護(hù)。因此�,下一代防火墻自然對數(shù)據(jù)庫安全的防護(hù)“ 有心無力”。
“門衛(wèi)”——WEB應(yīng)用防火墻(WAF)
WAF相當(dāng)于是信息系統(tǒng)“門衛(wèi) ”�������!伴T衛(wèi)”是某個建筑物或重要部位的警衛(wèi)�,與“大門”���、“ 傳達(dá)室” 不同,門衛(wèi)對所把守建筑物內(nèi)部情況非常了解�,對進(jìn)出人員特征也分辨清晰,一旦有非內(nèi)部可信人員試圖進(jìn)入�����,門衛(wèi)就會細(xì)細(xì)檢查盤問�����,但針對進(jìn)入內(nèi)部后的作案行為便無計可施了����。
WAF串行部署在信息系統(tǒng)前端,提升了系統(tǒng)的攻擊防御能力���,WAF原理主要是對Http協(xié)議的解析���,并對Http 協(xié)議中的傳輸內(nèi)容進(jìn)行分析�����,依靠正則式和簡單規(guī)則庫可以實(shí)現(xiàn)對部分SQL注入行為的阻止,由于WAF的專注程度定位在系統(tǒng)防攻擊���、防篡改等措施上���,對于復(fù)雜的SQL注入和數(shù)據(jù)庫攻擊行為僅進(jìn)行匹配,WAF就應(yīng)接不暇了����,并且早在2012年黑客大會就公布了150多種可以繞開WAF實(shí)現(xiàn)對數(shù)據(jù)庫的攻擊技術(shù)。因此不難看出WAF主要重點(diǎn)在于系統(tǒng)防護(hù)�,針對數(shù)據(jù)庫的安全防護(hù)措施,基本屬于“蜻蜓點(diǎn)水”�。
“大管家”——運(yùn)維堡壘機(jī)
運(yùn)維堡壘機(jī)相當(dāng)于信息系統(tǒng)的“大管家”,幫助主人集中管理協(xié)調(diào)信息內(nèi)辦公人員����,由于不同的人需要用不同的勞動工具,進(jìn)行不同的業(yè)務(wù)操作�,因此大管家還安裝了攝像頭,監(jiān)督記錄大家的工作���。大管家也會有難以管控之處���,無法更細(xì)粒度地控制大家使用工具時都進(jìn)行了哪些具體操作�,或者誰進(jìn)行了誤操作;大管家同樣無法防止對方繞過自己偷偷到系統(tǒng)禁地做些手腳��,也無法防止內(nèi)部工作人員做了內(nèi)應(yīng)��,進(jìn)行一些不良操作��,如果有些開發(fā)人員在業(yè)務(wù)系統(tǒng)中直接種植后門程序��, 這位“大管家”是看不到的�。
運(yùn)維堡壘機(jī)串行部署在運(yùn)維終端與主機(jī)、數(shù)據(jù)庫之間���, 通過這種部署方式��,可以實(shí)現(xiàn)對主機(jī)設(shè)備和數(shù)據(jù)庫的集中管控���,堡壘機(jī)可實(shí)現(xiàn)運(yùn)維過程中統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)�、統(tǒng)一審計。但堡壘機(jī)只能通過錄屏的方式進(jìn)行錄像審計����,無法更細(xì)力度地控制大家在工具內(nèi)的操作,無法針對數(shù)據(jù)庫管理員誤操作的行為進(jìn)行識別并加以阻止,也無法防止有些開發(fā)人員在業(yè)務(wù)系統(tǒng)中直接種植后門程序��,針對大批量訪問敏感表并造成信息泄密的行為無能為力��。 ..
|
