進入互聯(lián)網(wǎng)時代，由于數(shù)據(jù)庫引發(fā)的安全事件越來越多，比如Facebook超過8700萬條用戶數(shù)據(jù)備泄露。數(shù)據(jù)庫防火墻作為保護數(shù)據(jù)庫安全必不可少的防御工事，越來越受到企業(yè)的關(guān)注。那么數(shù)據(jù)庫防火墻究竟應(yīng)具備哪些能力，才能為保護企業(yè)數(shù)據(jù)資產(chǎn)發(fā)揮應(yīng)有的作用？

1、高可用性和高性能

數(shù)據(jù)庫在企業(yè)中承載著關(guān)鍵核心業(yè)務(wù)，要保護這么重要的數(shù)據(jù)，當然要依靠安全性高的安全設(shè)備來防護。數(shù)據(jù)庫防火墻是處于數(shù)據(jù)庫和服務(wù)器之間起到防護作用的安全設(shè)備，部署數(shù)據(jù)庫防火墻需要注意不能因為添加了防護設(shè)備而影響業(yè)務(wù)系統(tǒng)正常運行。

所以數(shù)據(jù)庫防火墻必須具備高可用可高性能的特性和能力。當其中的安全設(shè)備出現(xiàn)故障時，可以自主切換到另外的安全設(shè)備正常運行，避免因為系統(tǒng)崩潰或者系統(tǒng)維護導致業(yè)務(wù)受到影響，同時防止高并發(fā)的數(shù)據(jù)訪問因為數(shù)據(jù)庫防火墻的部署而影響業(yè)務(wù)系統(tǒng)正常運作。

2、訪問控制

很多企業(yè)數(shù)據(jù)泄露的原因是應(yīng)用系統(tǒng)存在權(quán)限控制漏洞，對于某些非法訪問、高危操作，無法進行控制，防止數(shù)據(jù)庫泄露需要數(shù)據(jù)庫防火墻具備管理和控制的能力。防止大量的外部賬號撞庫，在密碼輸入次數(shù)上進行限制，鎖定頻繁的密碼輸入終端。

對于敏感信息設(shè)置訪問權(quán)限，避免重要的信息泄露，大量數(shù)據(jù)導出、刪除行為應(yīng)當控制，防止大量的數(shù)據(jù)丟失。記錄敏感信息訪問記錄，以便風險分析和問題追溯。對不同身份的人，進行準入控制，制定準入的規(guī)則，比如像人的身份證一樣，只有具備了這個身份，識別出真實訪問者，才能夠進行相應(yīng)的訪問。

3、入侵防護功能

黑客會利用Web應(yīng)用漏洞，進行SQL注入，或以Web應(yīng)用服務(wù)器為跳板，利用數(shù)據(jù)庫自身漏洞攻擊和侵入。數(shù)據(jù)庫防火墻每天都需要面對外部環(huán)境成千上萬次的各類攻擊，需要對訪問者的訪問行為和特征進行檢測，并對危險行為進行防御，防御的方式主要有：漏洞攻擊防御、SQL注入攻擊防御、敏感數(shù)據(jù)泄露防御。

4、風險監(jiān)控

當數(shù)據(jù)庫數(shù)量少的時候，通過人工的方式監(jiān)控問題不大，但是當數(shù)據(jù)庫數(shù)量大，而數(shù)據(jù)庫防火墻又需要管理多個數(shù)據(jù)庫的時候，人工則難以監(jiān)控數(shù)據(jù)庫的整體安全狀況，這個時候需要建立統(tǒng)一的安全監(jiān)控平臺，當出現(xiàn)風險的時候能夠快速定位的數(shù)據(jù)庫，鎖定攻擊端的來源。

5、報警提醒

除了監(jiān)控數(shù)據(jù)庫的安全狀況，同時還需要對監(jiān)測和識別出來的危險信息進行實時報警提醒。對于任何不認識或者識別異常的信息，包括：新發(fā)現(xiàn)的IP地址，應(yīng)用程序，數(shù)據(jù)庫賬戶，應(yīng)用賬戶，訪問對象，訪問操作，SQL語句等，系統(tǒng)可以采用多種形式進行提醒，以便數(shù)據(jù)庫維護人員及時采取應(yīng)對措施。