谁能聊下数据库防火墙与传统防火墙的区别？

Posted 2023-05-06

当今社会，信息化、互联网技术高速发展，数据成为政府、金融、教育、医疗等各行业的核心资产，一旦数据被泄漏，会造成严重经济损失和不良的社会影响，因此数据库安全尤为重要。对于SQL注入攻击而言，已经有了Web防火墙，为何还需要数据库防火墙？两者之间的区别在哪？

什么是数据库防火墙？

数据库防火墙是一款抵御并消除由于应用程序业务逻辑漏洞或者缺陷所导致的数据（库）安全问题的安全设备或者产品。
数据库防火墙一般情况下部署在应用程序服务器和数据库服务器之间，采用数据库协议解析的方式完成。但这并不是唯一的实现方式，你可以部署在数据库外部，可以不采用协议解析。从这个定义可以看出，数据库防火墙其本质目标是给业务应用程序打补丁，避免由于应用程序业务逻辑漏洞或者缺陷影响数据（库）安全。

常见的应用程序业务逻辑漏洞和缺陷：SQL注入攻击、CC攻击、非预期的大量数据返回、敏感数据未脱敏、频繁的同类操作、超级敏感操作控制、身份盗用和撞库攻击、验证绕行和会话劫持、业务逻辑混乱。

Web防火墙也能够防御SQL注入攻击，为什么还要部署数据库防火墙？
Web防火墙可以抵御的漏洞与缺陷：SQL注入攻击、XSS攻击、CSRF攻击、SSRF攻击、Webshell后门、弱口令、反序列化攻击、命令/代码执行、命令/代码注入、本地/远程文件包含攻击、文件上传攻击、敏感信息泄露、XML实体注入、XPATH注入、LDAP注入、其他。

从抵御范围来看，Web防火墙和数据库防火墙所承载的目标区别较大，SQL注入攻击攻只是两种不同防火墙的为数不多的交叉点。

数据库防火墙是SQL注入防御的终极解决方案

数据库防火墙和Web防火墙部署位置的不同，决定了两种不同产品对于SQL注入攻击的防御策略和效果会大不相同。

部署位置：Web防火墙作用在浏览器和应用程序之间，数据库防火墙作用在应用服务器和数据库服务器之间。

作用协议：Web防火墙作用在Http协议上，数据库防火墙一般作用在数据库协议上，比如Oracle SQL*Net，MSSQL TDS等。

更多的访问通道

通过http服务应用访问数据库只是数据库访问中的一种通道和业务，还有大量的业务访问和http无关，这些http无关的业务自然就无法部署web防火墙，只能依赖于数据库防火墙来完成。

总结

1. 数据库防火墙主要用来防御外部入侵风险，需要和内部安全管控适当分开。

2. 数据库防火墙主要聚焦点是通过修复应用程序业务逻辑漏洞和缺陷来降低或者消除数据（库）安全风险。SQL注入攻击是其核心防御风险，而 数据库漏洞攻击检测和防御则并不是必须的。

3. 由于SQL注入攻击和数据库漏洞攻击的伴生性，数据库防火墙往往具备数据库漏洞检测和防御功能。

4. Web防火墙不能替代数据库防火墙，Web防火墙是SQL注入攻击的第一道防线，数据库防火墙则是SQL注入攻击的终极解决方案。 参考技术A 数据库防火墙和传统防火墙两个设备的部署位置不一样，数据库防火墙部署在数据库服务器前端；传统防火墙部署在网络边界；
数据库防火墙是数据库协议防护，传统防火墙是2-7层网络协议防护，防护对象都不一样；
数据库防火墙是数据库流量sql语句，传统防火墙解决网络流量；
数据库防火墙是基于数据库协议实现对数据库访问，数据使用的安全防护，例如有效防止批量数据泄露，恶意篡改数据等，传统防火墙、IPS、waf等识别的是网络层协议。国内最早做数据库防火墙的是安华金和这家厂商，串联的设备，对产品要求挺高的，具体可以咨询下他们。百度上面都有。本回答被提问者采纳 参考技术B WAf的防注入，一般是针对页面防注入，你比如页面有个表单，第一行输入用专户名，第二行输属入密码，这种从应用侧上的行为进行的防注入，而数据库防火墙的sql 防注入，是在数据库的语句层去发生的，我们的防注入是要跟语句模板，是要跟漏洞规则去组合起来的。WAF这种防护，比如说防一个输入里面，包不包含分号、引号、常量是没问题的，但是这种东西很简单，一旦过去了你的waf层，到了语句层还是会被拼成一个语句，而数据库防火墙是对最后拼成的语句进行防护，更waf不在同一个层面上，数据库防火墙的防护更靠后些，防护更细致一些。 安华金和数据库防火墙是一款基于数据库协议解析与控制技术的数据库安全防护系统，实现了对数据库访问行为的控制，高危操作的拦截，可疑行为的监控，风险威胁的拦截，提供可靠的数据库安全保护服务。有不明白的可以再问我

堡垒机和防火墙的三大区别分析-行云管家

目前市面上网络安全产品有很多，包含堡垒机、防火墙、数据备份系统等等。但很多运维小伙伴不清楚他们都有什么区别。今天我们就一起来聊聊堡垒机和防火墙的三大区别吧！

堡垒机和防火墙的三大区别分析-行云管家

1、性质不同

防火墙是私有网络与公网之间的门卫，而堡垒机是内部运维人员与私网之间的门卫。防火墙墙所起的作用是隔断，无论谁都过不去，但是堡垒机就不一样了，他的职能是检查和判断是否可以通过，只要符合条件就可以通过，堡垒机更加灵活一些。

2、作用不同

防火墙的作用是隔断两者之间的联系，无论任何资源都无法访问过去，而堡垒机的作用是检查、判断是否可以通过，只要符合条件就可以通过，相对于来说堡垒机更加灵活一些。

3、含义不同

防火墙是指网络防火墙，链接计算机与它所链接网络之间的软件。计算机所有的出入网络通信都要经过网络防火墙。堡垒机是针对内部运维人员的运维安全审计系统，堡垒机的作用是对运维人员的运维操作进行安全审计与权限控制，同时堡垒机还有很好的账号管理功能。

重点推荐：好用的商业堡垒机-行云管家

好用的商业堡垒机，我给推荐行云管家。理由如下：

1、行云管家堡垒机，既支持业界所有主流的公有云厂商和私有云厂商，也支持传统的物理主机、虚拟化主机、数据库、网络设备、存储设备等，便捷统一管理的用户体验。

2、行云管家Proxy能够打通异构网络的边界，使得企业用户只需部署一套行云管家堡垒机软件即可统一纳管异构网络下的所有IT设施，且这种网络的互通能力对用户而言是透明的、无感知的，无障碍使用的用户体验。

3、安全合规是堡垒机最核心的功能诉求，针对运维过程不同阶段的需求，行云管家堡垒机提供了“事前授权、事中监管、事后审计”的能力，全生命周期实现运维的闭环管理，有效的保障了运维管理过程中的安全合规，放心使用的用户体验。

4、不同于以往硬件型和软件型的堡垒机，摆脱刻板、笨重的产品设计印象，行云管家从用户使用体验出发，视觉界面友好，交互体验顺畅，无缝支持多端多设备展示，为用户带来极致的产品使用体验。