本文講的是 有了防火墻、IPS、WAF 還需要數據庫審計？，“我們的網絡安全系統中已經有了Web應用防火墻、網絡防火墻和IPS，難道還需要數據庫審計嗎？”很多人有這樣的疑問，網絡中有層層防護，還不能保護數據庫的安全嗎？是的，因為不同的安全防護系統針對的關鍵風險不同。

防火墻

網絡防火墻（Firewall）是基于預定安全規則來監視和控制傳入和傳出網絡流量的網絡安全系統，正如小區中的崗亭，人員、車輛進出都需要經過崗亭的檢查，計算機流入流出的所有網絡通信均要經過網絡防火墻。網絡防火墻對流經它的網絡通信信息進行掃描，避免一些攻擊行為在目標計算機上被執行。

網絡防火墻作為訪問控制設備，主要工作在OSI模型三層，基于IP報文進行檢測，通常根據IP、端口信息及協議類型做過濾。其產品設計無需理解HTTP會話，也就決定了無法理解Web應用程序語言如HTML、SQL語言。

因此，它不可能對HTTP通訊進行輸入驗證或攻擊規則分析。針對Web網站的惡意攻擊絕大部分都將封裝為HTTP請求，從80或443端口順利通過防火墻檢測。

網絡防火墻是基于邊界防護，同時因為Web服務的開放性，網絡防火墻對基于Web以及內部的攻擊缺乏免疫。

入侵防御系統

入侵防御系統（以下簡稱“IPS”）也是為防止網絡攻擊而設計的。一般來說，IPS系統檢測攻擊的方法是依靠對數據包的檢測。

IPS將檢查入網的數據包，確定這種數據包的真正用途，然后決定是否允許這種數據包進入你的網絡。這就像存放貴重物品的場所，如博物館中，安裝的紅外感應防御裝置，在紅外線識別到有人入侵時能夠及時做出防御。

IPS采用的是特征匹配技術、使用“允許除非明確否認”模式，其防護對象是一段網絡、以及網絡中通用的設備或系統而不是特定的Web應用。

IPS更多是針對攻擊行為的識別與防御，而數據庫數據泄露的風險常常是來自于內部人員，如合法權限的濫用或高級權限的違規使用。IPS無法對這類風險進行識別，也就無法對數據庫的安全進行全面的防護。

Web應用防火墻

從對Firewall的介紹可以看出來，傳統的防火墻對于應用層的攻擊是無法進行有效抵抗的；而IPS對防止應用層攻擊能起到一部分作用，卻無法從根本上防護應用層的攻擊。因此出現了保護Web應用安全的Web應用防火墻系統（以下簡稱“WAF”）。

WAF是一種基礎的安全保護模塊，通過特征提取和分塊檢索技術進行特征匹配，主要針對 HTTP 訪問的 Web 程序保護。WAF部署在Web應用程序前面，在用戶請求到達 Web 服務器前對用戶請求進行掃描和過濾，分析并校驗每個用戶請求的網絡包，確保每個用戶請求有效且安全，對無效或有攻擊行為的請求進行阻斷或隔離。

WAF現在已經成為許多商業 Web 網站與系統的基本保護措施，它的確在防范許多針對Web系統的安全攻擊方面卓有成效；但WAF只監控通過HTTP方式來的數據，而數據庫的訪問源頭卻多種多樣，如以下幾種數據庫訪問方式：

1、組織內其他應用系統能訪問數據庫：比如在電子商務系統里，價格和庫存可能會用一些自動化的腳本來定時更新。

2、一些內部管理程序可以訪問系統，也可能是一些接口，方便雇員添加信息或者發送信息給客戶。

3、還有就是數據庫 DBA，IT 經理，QA，開發人員等等內部人員通過數據庫管理工具可以訪問數據庫。

這些潛在的數據庫訪問源頭WAF是毫不知情的，但是來自內部的攻擊則更可怕。

從網絡防火墻到入侵防御系統再到Web應用防火墻，當我們給網絡穿上一層又一層的防護衣時，不得不正視，網絡攻擊越來越深入。當數據的價值越來越高，數據庫成為“攻擊”目標時，網絡防火墻、IPS、WAF的防護變得有些捉襟見肘。

數據庫審計系統可對數據的訪問操作行為做一個完整的記錄，以備違反安全規則的事件發生后，能有效的追查責任和分析原因，必要時還可以為懲罰惡意攻擊行為提供必要的證據。

另一方面，實施審計準則之后，審計線索會指出特定人員沒有違反規程，也沒有破壞性行為，對合法用戶是一種良好的保護。

從信息安全的角度上看，審計是安全的數據庫系統不可缺少的一部分，也是數據庫的最后一道重要的安全防線。

數據庫暴露的訪問點多種多樣，網絡安全工作是一場旅程，起始于關鍵風險和重要資產的識別，再在技術、流程和人員管理之間找到正確的組合。

因此，面對不同的網絡安全風險，需要不同的技術手段加以防護，在數據價值日益增加的現在，數據庫審計系統的作用逐漸突顯。

原文發布時間為：七月 17, 2017
本文作者：aqniu
本文來自云棲社區合作伙伴安全牛，了解相關信息可以關注安全牛。
原文鏈接：http://www.aqniu.com/tools-tech/26698.html