OracleDatabaseFirewall是一种主动、实时的数据库防火墙解决方案,可提供白名单、黑名单和例外名单策略、智能且准确的警报,并以非常低的管理成本进行监视。OracleDatabaseFirewall独立于数据库配置和操作。这种独立的保护屏蔽边界有助于降低数据丢失的风险,并能帮助组织管理不断变化的法规环境。
与传统的SQL防火墙(依赖于使用诸如正则表达式、字符串匹配和模式比较之类的战略识别不符合策略的SQL)不同,OracleDatabaseFirewall提供智能数据库防火墙安全
性,能够快速、准确地设置和改写策略。各组织可以选择以阻止模式将Oracle
DatabaseFirewall部署为数据库策略实施系统,以保护其数据库资产,或者仅监视数据
库活动以辅助实现审计与合规性。
OracleDatabaseFirewall可监视数据访问,实施访问策略,突出显示异常,并帮助防止来自外部或内部的基于网络的攻击。可以将SQL与经过认可的应用程序SQL白名单进行比较来阻止基于SQL注入的攻击。
OracleDatabaseFirewall是独一无二的,为组织提供了第一道防线,保护数据库免受威胁并有助于满足合规性要求。
1、OracleDatabaseFirewall的部署OracleDatabaseFirewall安装在网络中的网桥或SPAN端口上,监视每个SQL事务请求。使用基于语法的强大分析引擎处理SQL语句,该引擎对SQL进行分解和分类。除了纯粹查看SQL语句之外,策略还可以评估诸如IP地址、时间和程序名称之类的因素。
一个OracleDatabaseFirewall一次可以监视和保护多个数据库。OracleDatabaseFirewall可以采用多种方案进行部署:
内联网络阻止模式和旁路被动网络监视。内联意味着SQL流量将通过OracleDatabaseFirewall,并在转发到数据库或阻止之前进行检查。旁路意味着将SQL流量复制到OracleDatabaseFirewall,而同时通常通过SPAN端口将SQL直接发送到数据库。可以针对不同的数据库同时使用这些方案。
异构、多数据库实施。例如,一个设备可以同时支持Oracle8i、OracleDatabase10g和OracleDatabase11g数据库以及SQLServer和Sybase数据库。
组合部署。内联和/或旁路OracleDatabaseFirewall部署可以与本地服务器端仅监视代理相组合,以用于本地连接。
OracleDatabaseFirewall可以部署为高可用性配置。建议部署两个防火墙,以便SQL监视不会中断。
、主动安全实施白名单OracleDatabaseFirewall使用白名单安全模型实施零缺陷数据库安全策略。白名单策略是可以发送到数据库的一组经过认可的SQL语句。OracleDatabaseFirewall将SQL流量与经过认可的白名单进行比较,然后根据策略,它可选择阻止、替换或警报SQL语句。
OracleDatabaseFirewall基准可以配置为阻止所有不符合策略的事件。这可以实现为
阻止SQL语句
使用SQL语句替换修改请求
除了阻止或替换之外,还可以对所有不符合策略的SQL语句发出警报
在许多情况下,最好的解决方案是应用语句替换。语句替换使得黑客无法感觉到OracleDatabaseFirewall的存在,并且对现有应用程序也更透明。
简言之,语句替换是这样一个过程:获取不符合策略的语句,将其修改为不会返回任何数据的新语句。
3、被动安全实施黑名单除了白名单、主动安全实施模型之外,OracleDatabaseFirewall还支持黑名单模型,
该模型允许策略指定要阻止的特定SQL语句。与白名单策略一样,黑名单策略也可以
配置为根据诸如IP地址、时间和程序之类的因素允许特定语句。
4、例外名单安全实施例外名单策略允许针对特定活动创建特定策略,对白名单和黑名单策略进行了补充。例如,可以使用例外名单策略使远程管理员能够诊断特定的应用程序性能问题。
5、基于主机的监视器OracleDatabaseFirewall还提供了基于主机的非常轻型的监视器或代理,可监视数据库。主机监视器将信息发送到OracleDatabaseFirewall以便监视、记录和警告。
6、OracleDatabaseFirewall管理服务器OracleDatabaseFirewall管理服务器集中管理OracleDatabaseFirewall策略,整合OracleDatabaseFirewall中的数据,存储数据库活动数据,并提供数十种现成的报告。
7、策略管理OracleDatabaseFirewall提供了简单、易于使用的策略管理工具,这些工具构建于基于语法的SQL分析方法的强大功能之上。OracleDatabaseFirewall可以针对给定数据库定义经过认可的SQL语言白名单,还可以定义主动安全模型。
OracleDatabaseFirewall策略管理将对数据库具有相同影响的查询组合在一起。OracleDatabaseFirewall允许将诸如IP地址、客户端程序和时间之类的因素与SQL相关联。当OracleDatabaseFirewall策略管理使用有关网络的多种因素时,就可以构建功能强大的细粒度策略,从而确定生产环境发生的更改的时间、地点和方式。
8、报告OracleDatabaseFirewall附带了数十种预定义的报告,这些报告可以用于Sarbanes-Oxley(SOX)、支付卡行业数据安全标准(PCIDSS)、医疗保险携带和责任法案(HIPAA)、Gramm-Leach-BlileyAct(GBLA)以及其他隐私与合规性法规。OracleDatabaseFirewall记录有关事件的所有可用详细信息,并使所有事件属性可用于详细或汇总报告。OracleDatabaseFirewall报告可以自定义,并可添加新报告。可以计划和自定义报告以包括汇总信息,例如总数、平均数、百分比数、前10以及后10。汇总信息可以对包括数字、字符串和日期的参数进行运算,并且可以引用预定义的统计、算术甚至用户定义的运算。均可以对所有报告进行调度使其按预定义的间隔运行或即席运行。所有调度的报告都可以通过电子邮件发送到MicrosoftExchange或IBMLoutsNotes之类的电子邮件系统中的地址列表或公共文件夹中。报告格式为PDF或原生Excel。
9、用户角色审计OracleDatabaseFirewall用户角色审计(URA)允许客户审计和批准对指定数据库服务器上数据库中的用户角色进行的更改。OracleDatabaseFirewall按计划间隔连接到数据库服务器,确定已进行哪些更改或添加(如果有)以查看如下信息:
对数据库角色和权限进行的更改
何时检测到更改
等待批准的更改
使用管理控制台,还可以监视更改并查看先前批准的历史记录。
10、存储过程审计OracleDatabaseFirewall存储过程审计(SPA)提供审计功能,以确定每个受保护数据库上的存储过程的内容和状态。SPA功能连接到数据库服务器,检索有关存储过程的信息。存储过程审计显示每个存储过程的以下数据:
完全限定的名称和所有者
存储过程的类型、创建日期、上次修改时间、任何修改的详细信息
存储过程的操作(DML、DCL、DDL、DML等)
基于主要SQL语法(如SYSTEM、UPDATE等)的威胁等级
通过SPA,可检测对存储过程进行的任何更改,准确、详细地突出显示实际更改,并且可以调度自动报告将其分发给感兴趣的各方。
11、与F5BIGIPASM集成OracleDatabaseFirewall使用插件连接器与F5BIG-IPApplicationSecurityManager实现集成。OracleDatabaseFirewall与F5BIG-IPApplicationSecurityManager的组合可同时保护和监视企业内的应用程序和数据库。
如果您还使用BIG-IPASM界面,并且攻击来自互联网,则DatabaseFirewall可提供发起攻击的Web客户端的实际IP地址和应用程序用户。此特性使您能够确定基于互联网的攻击源。您可以使用DatabaseFirewall管理控制台配置这一集成。
1、与ArcSight集成ArcSightSecurityInformationEventManagement(SIEM)系统是一种集中系统,用于记
录、分析和管理不同源的日志消息。ArcSightSIEM使OracleDatabaseFirewall能够提供安全警报或其他选定事件类型的完整详细信息,其中包括消息文本、优先级和任何攻击者的IP地址。
13、总结保护服务器上的数据需要覆盖技术功能和管理功能的多层保护。OracleDatabaseFirewall提供智能数据库防火墙安全性,能够根据基于语法的SQL分析方法设置策略。OracleDatabaseFirewall首先根据白名单、黑名单和例外名单策略验证应用程序SQL,并防止SQL注入到达数据库。OracleDatabaseFirewall提供了数十种现成的报告,这些报告有助于实施各种隐私与合规性法规,包括SOX、HIPAA和PCI。灵活的部署选项包括网络SQL流量的内联阻止和带外被动监视。OracleDatabaseFirewall可实现边界安全控制,通过提供第一道防线以防止来自组织外部和内部的威胁,从而强化了数据库安全性。
如有侵权,请联系本
北京哪看白癜风好
中科治白癜风疗效更显著