億賽通數(shù)據(jù)庫防火墻（簡稱DAS-FW），是一款基于數(shù)據(jù)庫協(xié)議分析與控制技術(shù)的數(shù)據(jù)庫安全防護系統(tǒng)。DAS-FW基于主動防御機制，實現(xiàn)數(shù)據(jù)庫的訪問行為控制、危險操作阻斷、可疑行為審計。DAS-FW是一款集數(shù)據(jù)庫IPS、IDS和審計功能為一體的綜合安全產(chǎn)品

訪問權(quán)限精細(xì)控制

通過分析數(shù)據(jù)庫流量數(shù)據(jù)，獲取權(quán)限控制所需關(guān)鍵信息，對相應(yīng)數(shù)據(jù)庫請求行為進行放行或阻斷，達到第三方權(quán)限控制的目的。

防止內(nèi)外高危操作

通過SQL注入特征庫捕獲和阻斷SQL注入行為；通過限定更新和刪除影響行、限定無Where的更新和刪除操作、限定drop、truncate等高危操作避免大規(guī)模損失。

防止敏感數(shù)據(jù)泄漏

限定數(shù)據(jù)查詢和下載數(shù)量、限定敏感數(shù)據(jù)訪問的用戶、地點和時間。

審計追蹤非法行為

提供對所有數(shù)據(jù)訪問行為的記錄，對風(fēng)險行為進行SysLog、郵件、短信等方式的告警，提供事后追蹤分析工具。

網(wǎng)絡(luò)防火墻運作在底層的 TCP/IP 協(xié)議堆棧上，利用封包的多樣屬性來進行過濾或阻斷的系統(tǒng)，例如：來源 IP 地址、來源端口號、目的 IP 地址或端口號、服務(wù)類型(如 WWW 或是 FTP)，也能由通信協(xié)議、TTL 值、來源的網(wǎng)域名稱或網(wǎng)段等屬性來進行過濾

產(chǎn)品特性：

SQL注入行為檢測阻斷：通過對SQL語句進行注入特征描述，完成對SQL注入行為的檢測和阻斷。

防止敏感數(shù)據(jù)泄漏篡改：針對不同的數(shù)據(jù)庫用戶，提供敏感表的操作權(quán)限、訪問行數(shù)和影響行數(shù)的控制，以及限制NO WHERE查詢和更新，從而避免大規(guī)模數(shù)據(jù)泄露和篡改。

支持SQL語句黑白名單：通過學(xué)習(xí)模式以及SQL語法分析構(gòu)建動態(tài)模型，形成SQL白名單和SQL黑名單，對符合SQL白名單語句放行，對符合SQL黑名單特征語句阻斷。

提供精細(xì)訪問權(quán)限管理：對于數(shù)據(jù)庫用戶提供比DBMS系統(tǒng)更詳細(xì)的虛擬權(quán)限控制。控制策略包括：用戶、終端、對象、時間等元素。

支持風(fēng)險行為控制審計：對數(shù)據(jù)庫訪問行為阻斷所采取的控制行為，包括：“中斷會話”和“攔截語句”兩種方式。

多種安全策略模型支持：支持許可模型和禁止模型

數(shù)據(jù)應(yīng)用訪問智能建模：提供學(xué)習(xí)期以完成對應(yīng)用訪問數(shù)據(jù)庫行為的建模，學(xué)習(xí)期提供兩種模式：初始化模式和完善模式。

全面精細(xì)審計控制分析：提供全面詳細(xì)審計記錄，告警審計和會話事件記錄，并在此基礎(chǔ)上實現(xiàn)了內(nèi)容豐富的審計瀏覽、訪問分析和問題追蹤，提供實時訪問首頁統(tǒng)計圖。

系統(tǒng)高可用性設(shè)計保障：采用高可靠性設(shè)計，支持多種高可靠性技術(shù)，包括網(wǎng)絡(luò)bypass和雙機熱備等，充分保障系統(tǒng)運行穩(wěn)定可靠，對客戶現(xiàn)網(wǎng)和業(yè)務(wù)零影響。

產(chǎn)品優(yōu)勢：

1、精細(xì)數(shù)據(jù)庫權(quán)限控制

針對數(shù)據(jù)庫表級別提供精細(xì)化的訪問權(quán)限控制，授權(quán)對象除了基本的數(shù)據(jù)庫用戶以外，還可以對數(shù)據(jù)庫連接客戶端進行權(quán)限控制，同時可設(shè)置權(quán)限規(guī)則的時間周期及有效時間范圍。

2、全面數(shù)據(jù)庫入侵阻斷

提供全面的數(shù)據(jù)庫攻擊行為檢測和阻斷技術(shù)，包括：SQL注入禁止技術(shù)、虛擬補丁技術(shù)、高危訪問控制技術(shù)、返回行超標(biāo)禁止技術(shù)、SQL語句模板技術(shù)

3、場景化安全策略設(shè)置

系統(tǒng)按照不同的防護場景提供預(yù)定義策略.

4、分布式部署集中管理

除了傳統(tǒng)的單機部署模式，還支持分布式部署和集中管理模式，可統(tǒng)一下發(fā)策略、統(tǒng)一管理、統(tǒng)一展現(xiàn)。

部署方案：

1、單機串聯(lián)部署模式—支持兩種串聯(lián)模式

透明網(wǎng)橋模式：在網(wǎng)絡(luò)上物理串聯(lián)接入DAS-FW設(shè)備，所有用戶訪問的網(wǎng)絡(luò)流量都串聯(lián)流經(jīng)設(shè)備，通過透明網(wǎng)橋技術(shù)，客戶端看到的數(shù)據(jù)庫地址不變。

代理接入模式：網(wǎng)絡(luò)上并聯(lián)接入DAS-FW設(shè)備，客戶端邏輯連接防火墻設(shè)備地址，防火墻設(shè)備轉(zhuǎn)發(fā)流量到數(shù)據(jù)庫服務(wù)器。

2、分布式部署模式

在數(shù)據(jù)庫流量指標(biāo)超出單臺DAS-FW處理性能指標(biāo)或者客戶客戶環(huán)境無法集中部署防護設(shè)備的情況下，可采用分布式部署模式進行部署。將防護引擎分別串接部署到各數(shù)據(jù)庫網(wǎng)絡(luò)前端，通過交換機與防護中心連接，如下圖所示：

在分布式部署模式下，防護中心對各防護引擎進行統(tǒng)一管理，防護規(guī)則由防護中心統(tǒng)一下發(fā)，防護動作由各防護引擎實施完成。