有了防火牆、IPS、WAF 還需要資料庫審計？

「我們的網路安全系統中已經有了Web應用防火牆、網路防火牆和IPS，難道還需要資料庫審計嗎？」很多人有這樣的疑問，網路中有層層防護，還不能保護資料庫的安全嗎？是的，因為不同的安全防護系統針對的關鍵風險不同。

防火牆

網路防火牆（Firewall）是基於預定安全規則來監視和控制傳入和傳出網路流量的網路安全系統，正如小區中的崗亭，人員、車輛進出都需要經過崗亭的檢查，計算機流入流出的所有網路通信均要經過網路防火牆。網路防火牆對流經它的網路通信信息進行掃描，避免一些攻擊行為在目標計算機上被執行。

網路防火牆作為訪問控制設備，主要工作在OSI模型三層，基於IP報文進行檢測，通常根據IP、埠信息及協議類型做過濾。其產品設計無需理解HTTP會話，也就決定了無法理解Web應用程序語言如HTML、SQL語言。

因此，它不可能對HTTP通訊進行輸入驗證或攻擊規則分析。針對Web網站的惡意攻擊絕大部分都將封裝為HTTP請求，從80或443埠順利通過防火牆檢測。

網路防火牆是基於邊界防護，同時因為Web服務的開放性，網路防火牆對基於Web以及內部的攻擊缺乏免疫。

入侵防禦系統

入侵防禦系統（以下簡稱「IPS」）也是為防止網路攻擊而設計的。一般來說，IPS系統檢測攻擊的方法是依靠對數據包的檢測。

IPS將檢查入網的數據包，確定這種數據包的真正用途，然後決定是否允許這種數據包進入你的網路。這就像存放貴重物品的場所，如博物館中，安裝的紅外感應防禦裝置，在紅外線識別到有人入侵時能夠及時做出防禦。

IPS採用的是特徵匹配技術、使用「允許除非明確否認」模式，其防護對象是一段網路、以及網路中通用的設備或系統而不是特定的Web應用。

IPS更多是針對攻擊行為的識別與防禦，而資料庫數據泄露的風險常常是來自於內部人員，如合法許可權的濫用或高級許可權的違規使用。IPS無法對這類風險進行識別，也就無法對資料庫的安全進行全面的防護。

Web應用防火牆

從對Firewall的介紹可以看出來，傳統的防火牆對於應用層的攻擊是無法進行有效抵抗的；而IPS對防止應用層攻擊能起到一部分作用，卻無法從根本上防護應用層的攻擊。因此出現了保護Web應用安全的Web應用防火牆系統（以下簡稱「WAF」）。

WAF是一種基礎的安全保護模塊，通過特徵提取和分塊檢索技術進行特徵匹配，主要針對 HTTP 訪問的 Web 程序保護。WAF部署在Web應用程序前面，在用戶請求到達 Web 伺服器前對用戶請求進行掃描和過濾，分析並校驗每個用戶請求的網路包，確保每個用戶請求有效且安全，對無效或有攻擊行為的請求進行阻斷或隔離。

WAF現在已經成為許多商業 Web 網站與系統的基本保護措施，它的確在防範許多針對Web系統的安全攻擊方面卓有成效；但WAF只監控通過HTTP方式來的數據，而資料庫的訪問源頭卻多種多樣，如以下幾種資料庫訪問方式：

1、組織內其他應用系統能訪問資料庫：比如在電子商務系統里，價格和庫存可能會用一些自動化的腳本來定時更新。

2、一些內部管理程序可以訪問系統，也可能是一些介面，方便僱員添加信息或者發送信息給客戶。

3、還有就是資料庫 DBA，IT 經理，QA，開發人員等等內部人員通過資料庫管理工具可以訪問資料庫。

這些潛在的資料庫訪問源頭WAF是毫不知情的，但是來自內部的攻擊則更可怕。

從網路防火牆到入侵防禦系統再到Web應用防火牆，當我們給網路穿上一層又一層的防護衣時，不得不正視，網路攻擊越來越深入。當數據的價值越來越高，資料庫成為「攻擊」目標時，網路防火牆、IPS、WAF的防護變得有些捉襟見肘。

資料庫審計系統可對數據的訪問操作行為做一個完整的記錄，以備違反安全規則的事件發生后，能有效的追查責任和分析原因，必要時還可以為懲罰惡意攻擊行為提供必要的證據。

另一方面，實施審計準則之後，審計線索會指出特定人員沒有違反規程，也沒有破壞性行為，對合法用戶是一種良好的保護。

從信息安全的角度上看，審計是安全的資料庫系統不可缺少的一部分，也是資料庫的最後一道重要的安全防線。

資料庫暴露的訪問點多種多樣，網路安全工作是一場旅程，起始於關鍵風險和重要資產的識別，再在技術、流程和人員管理之間找到正確的組合。

因此，面對不同的網路安全風險，需要不同的技術手段加以防護，在數據價值日益增加的現在，資料庫審計系統的作用逐漸突顯。

資料庫防火牆、資料庫加密、資料庫脫敏真的可用嗎？