产品介绍

奇安信网神数据库防火墙是内外部设备或人员访问数据库时,通过分析数据库通讯协议中的SQL语句和语法特征,检测恶意行为、非授权访问敏感信息等,并进行实时阻断和告警,
系统通过虚拟补丁技术捕获和阻断漏洞攻击行为,通过SQL注入特征库捕获和阻断SQL注入行为。
系统可设置系统表和敏感对象的访问权限、限定高危操作。
基于字段级关联设置,建立敏感数据访问策略,保护数据库免遭恶意访问以及敏感数据不被外泄。


核心功能

数据库状态实时监控
根据数据库类型的不同,状态监控信息包括但不限于基本数据库信息、数据库性能监测、用户活动状态监测、数据库运行状态监测、数据库文件状态监测、表空间状态监测、SGA状态监测、会话状态监测、回滚段监测、缓冲区监测、锁信息监测、安全配置信息监测、Cache信息监测、Latch内存锁监测等。
敏感数据自动发现
能够自动发现数据库中的敏感信息,如姓名、电话号码、身份证、地址、药品名称、社保号等敏感信息。能够直观展现敏感信息的分布情况,便于对敏感信息进行针对性的保护。
服务发现
能够自动发现网络中存在的各类服务,自动发现数据库系统的类型,并可进行智能化统计图形化展示。
数据库访问控制
数据库防火墙系统提供比DBMS系统更细粒度的第三方权限控制系统,能够基于IP、SQL语句,操作时间、客户端、关键字、表、列等条件制定访问规则,同时内置多种数据库策略防护模板,便于快速部署。
数据库攻击防护
数据库防火墙提供了攻击保护功能。该功能能够实时检测出用户对数据库进行的SQL注入和缓冲区溢出攻击,替换或者阻断高危SQL语句并报警,同时详细的审计下攻击操作发生的时间、来源IP、登录数据库的用户名、攻击代码等详细信息。
SQL特征库
数据库防火墙过语法描述分析SQL注入攻击不同时期的行为特征,构建SQL注入特征库。对不在SQL白名单的SQL语句进行SQL注入特征匹配,对符合SQL注入特征的SQL依据设定的风险等级进行相应的阻断处置。
数据安全审计
提供对所有数据访问行为的记录,对风险行为进行Syslog、邮件、短信等方式的告警,提供事后追踪分析工具。
丰富日志报表
提供丰富的日志查询条件和细致的统计分析条件,通过多样化的关联查询分析能力,保证数据展现的灵活多样。同时提供强大的报表模板以及可定制的客户化报表,满足用户不同层次的需要。其中报表模板有DPA、SOX、等保、医疗防统方以及普通的基于查询的报表模板

产品特点

兼容性强
数据库支持oracle、mysql、DB2、Sybase、达梦、南大通用、神州通用、人大金仓、翰高、浪潮KDB等数据库的安全防护。
功能全面
提供数据库性能监控、访问控制、攻击检测、攻击拦截、安全审计等功能业内最全。能够有效避免因外部攻击、内部非法操作以及误操作所带来的数据被窃取、被删除、被篡改等风险。
性能强劲
采用国际领先的、最适合数据库防火墙产品特性的硬件平台,借助多路并行总线技术可提供国内同行业产品最高的SQL处理能力,通过端口高速转发技术实现毫秒级的延迟。
高可靠性
数据库防火墙产品关键部件均采用冗余设计,支持双机热备,软硬件bypass等可靠性技术,确保系统在各种未知的突发情况发生时,能够快速切换至正常状态,保证整个网络的稳定安全。
部署实施简单
支持在线透明部署、在线桥接部署、代理部署等多种部署方式,能够满足不同部署场景需求;支持业务智能感知功能,能够自动生成访问控制策略模型,同时内做多种数据库防护策略模板,可以有效减少部署时间,提高策略准确度。

适用场景

数据库防火墙广泛适用于“政府、公安、财政、教育、能源、工商、社保、医疗、国土、金融、运营商、企业”等所有涉及数据库应用的各个行业,为用户提供全面高效的数据库主动防御能力。

部署方式

透明部署:当客户端或应用程序对数据库服务器有连接请求时,安全审计系统不对数据包进行任何改变,无需更改IP地址,仅按照访问控制策略对数据库访问行为进行过滤,同时具有软硬件Bypass功能,保障网络的高可用性。

                                                          


代理部署:通常路由可达即可,可旁路部署,不改变网络结构,但需要给安全审计系统分配与数据库、客户端能够通信的IP地址和路由信息。