警告：不要認(rèn)為有了WAF的保護(hù)，數(shù)據(jù)庫安全就可以高枕無憂了，數(shù)據(jù)庫仍然有很大的暴露風(fēng)險，

為什么WAF（WebApplicationFirewall）不能確保數(shù)據(jù)庫

。

    Web應(yīng)用程序防火墻（WAF）現(xiàn)在已經(jīng)成為很多商業(yè)Web網(wǎng)站和系統(tǒng)的基本保護(hù)措施了，它的確在防范很多針對Web系統(tǒng)的安全攻擊有比較好的效果，但是WAF在面對攻擊方式多種多樣的SQL注入方面還是顯得束手無策。

    背景知識：什么是WAF？

    Web應(yīng)用防火墻（WAF）是一種基礎(chǔ)的安全保護(hù)模塊，主要針對HTTP訪問的Web程序的保護(hù)，放在Web應(yīng)用程序前面，在用戶請求到達(dá)Web服務(wù)器前對用戶請求進(jìn)行掃描和過濾，分析和校驗每個用戶請求的網(wǎng)絡(luò)包，確保每個用戶請求是有效并安全的，對無效或者有攻擊行為的請求進(jìn)行阻斷或隔離。

    WAF可以通過定義一些常見的SQL注入的特征碼對常見SQL注入提供防護(hù)，比如SQL注入代碼加入到某些命令或某些輸入，這些WAF是沒有問題的。但是市面上的關(guān)系型數(shù)據(jù)的種類非常多，雖然有統(tǒng)一的SQL結(jié)構(gòu)化數(shù)據(jù)查詢語言，但是每個數(shù)據(jù)庫的具體實現(xiàn)有非常多的不一樣，這些不一樣就導(dǎo)致了多種多樣的SQL注入攻擊方式的產(chǎn)生。因此也就導(dǎo)致了像WAF這樣安全保護(hù)系統(tǒng)在不理解應(yīng)用程序的上下文，不熟悉數(shù)據(jù)庫類型，命令，結(jié)構(gòu)的情況下，僅僅靠分析網(wǎng)絡(luò)數(shù)據(jù)包，加上定義一些數(shù)據(jù)庫特殊字符黑名單，去防護(hù)多種多樣的SQL注入攻擊是遠(yuǎn)遠(yuǎn)不夠的。

    筆者非常認(rèn)可WAF在Web應(yīng)用安全防護(hù)方面能起比較大的作用，能防護(hù)很多Web攻擊，也非常鼓勵每個企業(yè)去使用WAF為Web應(yīng)用程序提供安全保障，但是千萬不要天真的認(rèn)為，有了WAF你的數(shù)據(jù)庫就安全了，這種想法非常的危險。

    數(shù)據(jù)庫暴露的訪問點多種多樣

    從WAF的原理來看，WAF并不能完整的保護(hù)Web應(yīng)用程序免受SQL注入攻擊，因為它在Web應(yīng)用程序外部，不了解應(yīng)用程序的上下文，不知道目標(biāo)數(shù)據(jù)庫的類型，這就從根本上決定了WAF只能防范最通用的SQL注入方式。即使WAF做的足夠好能夠防范絕大多數(shù)從Web系統(tǒng)進(jìn)入的SQL注入攻擊，也不能說數(shù)據(jù)庫就得到了很好的保護(hù)，因為能訪問數(shù)據(jù)庫的源頭不僅僅是Web系統(tǒng)，還有很多其他途徑能訪問數(shù)據(jù)庫。

    除了Web系統(tǒng)外還有三類主要的數(shù)據(jù)庫訪問途徑：

    組織內(nèi)其他應(yīng)用系統(tǒng)能訪問數(shù)據(jù)庫：比如在電子商務(wù)系統(tǒng)里，價格和庫存可能會用一些自動化的腳本來定時更新。 一些內(nèi)部管理程序可以訪問系統(tǒng)，也可能是一些接口，方便雇員添加信息或者發(fā)送信息給客戶。 還有數(shù)據(jù)庫DBA，IT經(jīng)理，QA，開發(fā)人員等等內(nèi)部人員通過數(shù)據(jù)庫管理工具可以訪問數(shù)據(jù)庫。

    WAF只監(jiān)控通過HTTP方式將來的數(shù)據(jù)，這些潛在的數(shù)據(jù)庫訪問源頭WAF是毫不知情的，但來自內(nèi)部的攻擊更可怕，內(nèi)部人員非常清楚數(shù)據(jù)庫的結(jié)構(gòu)和內(nèi)容，目標(biāo)性也更加明確，不是獲取經(jīng)濟(jì)利益就是獲取大量內(nèi)部信息，造成的危害可以說是毀滅性的，比如前兩年發(fā)生在****庫大規(guī)模泄露事件就很清楚的證明了這一點。同時現(xiàn)在 攻擊手段越來越高明，技術(shù)已經(jīng)非常成熟，而且在云時代有明顯邊界的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)越來越少。總之WAF對SQL注入攻擊的防護(hù)作用越來越小。

    多維度數(shù)據(jù)庫保護(hù)是完全之策

    既然數(shù)據(jù)庫的方面途徑很多，要想比較好的解決數(shù)據(jù)泄露的的危險，多維度防護(hù)是最佳方法，只有堵住每條可能泄露的攻擊才能確保數(shù)據(jù)庫的安全，可能的方法包括但不僅限于：

運行時應(yīng)用程序自我保護(hù)（RASP）。 數(shù)據(jù)庫防火墻，

電腦資料

《為什么WAF（WebApplicationFirewall）不能確保數(shù)據(jù)庫》(http://www.dameics.com)。 模式學(xué)習(xí)過程。 職責(zé)分離。 風(fēng)險為基礎(chǔ)的政策。 敏感信息屏蔽。 定期審計管理和訪問敏感信息。

    運行時應(yīng)用程序自我保護(hù)（RASP）

    RASP針對應(yīng)用程序保護(hù)，不僅僅是對Web應(yīng)用測試，它將代碼掃描工具的漏洞發(fā)現(xiàn)功能和WAF的實時攻擊攔截能力結(jié)合起來，將這些防護(hù)功能像疫苗一樣注入到應(yīng)用程序中，讓應(yīng)用程序像人體擁有疫苗一樣對攻擊擁有免疫能力，他可以找到所有已知漏洞，像一個虛擬的大補(bǔ)丁將所有的已知漏洞修補(bǔ)起來，免于大多數(shù)漏洞攻擊，同時它和應(yīng)用程序一起運行是同一個進(jìn)程，擁有應(yīng)用程序的上下文，了解應(yīng)用程序的每一個動作，因此他能精確的了解每一個攻擊并能夠?qū)崟r對攻擊進(jìn)行防御。比如SQL注入，它在每個數(shù)據(jù)庫的JDBC的statement具體實現(xiàn)里，根據(jù)對每個數(shù)據(jù)的不同，有針對性的將SQL注入

保護(hù)程序注入，這樣就能確保各種可能的SQL注入攻擊得到有效的防范，并且這個防護(hù)是在應(yīng)用程序訪問數(shù)據(jù)庫的必經(jīng)之路，是不可繞過的。這兩個優(yōu)勢是WAF無法企及的。如果每個應(yīng)用程序都進(jìn)行RASP保護(hù)，至少無論內(nèi)外通過應(yīng)用進(jìn)行SQL注入基本上是不可能的，這樣就可以堵住應(yīng)用程序訪問數(shù)據(jù)庫的漏洞。目前RASP是比較新的概念，國外有HP在做，國內(nèi)好像有一個初創(chuàng)安全OneASP在做類似的產(chǎn)品，大家有有興趣可以關(guān)注一下。

    數(shù)據(jù)庫防火墻

    數(shù)據(jù)庫防火墻技術(shù)是針對關(guān)系型數(shù)據(jù)庫保護(hù)需求應(yīng)運而生的一種數(shù)據(jù)庫安全主動防御技術(shù)，數(shù)據(jù)庫防火墻部署于應(yīng)用服務(wù)器和數(shù)據(jù)庫之間。用戶必須通過該系統(tǒng)才能對數(shù)據(jù)庫進(jìn)行訪問或管理。數(shù)據(jù)庫防火墻所采用的主動防御技術(shù)能夠主動實時監(jiān)控、識別、告警、阻擋繞過企業(yè)網(wǎng)絡(luò)邊界（FireWall、IDS\IPS等）防護(hù)的外部數(shù)據(jù)攻擊、來自于內(nèi)部的高權(quán)限用戶（DBA、開發(fā)人員、第三方外包服務(wù)提供商）的數(shù)據(jù)竊取、破壞、損壞等，從數(shù)據(jù)庫SQL語句精細(xì)化控制的技術(shù)層面，提供一種主動安全防御措施。

    模式匹配學(xué)習(xí)過程

    基于自學(xué)習(xí)機(jī)制的風(fēng)險管控模型，主動監(jiān)控數(shù)據(jù)庫活動，防止未授權(quán)的數(shù)據(jù)庫訪問、SQL注入、權(quán)限或角色升級，以及對敏感數(shù)據(jù)的非法訪問等。

    基于風(fēng)險管理的策略

    任何類型的數(shù)據(jù)庫查詢語句或命令，都可以用一些方法來評估。影響風(fēng)險評估的因素包括白名單和黑名單，命令是從哪里過來的，在一定時間有多少個類似的命令等等，利用所有的信息，一個基于規(guī)則的系統(tǒng)可以使用這些信息來通過一系列的規(guī)則來評估那些命令是可疑的。

    權(quán)責(zé)分明

    為數(shù)據(jù)庫訪問分配適當(dāng)?shù)臋?quán)限是非常必要的�；�于Web的應(yīng)用程序只應(yīng)該有有限的查詢權(quán)限，數(shù)據(jù)庫管理員擁有更大的管理權(quán)限是有必要的。通過適當(dāng)?shù)膱?zhí)行職責(zé)分離，可以有效的避免多種數(shù)據(jù)庫攻擊。

    混淆敏感數(shù)據(jù)

    所有人都應(yīng)該能查看敏感數(shù)據(jù)，甚至包括數(shù)據(jù)庫管理員，程序員，以及高管。DBA可以執(zhí)行一些數(shù)據(jù)庫管理任務(wù)，但是沒有必要讓他們能看到數(shù)據(jù)庫中個人的敏感數(shù)據(jù)，為了達(dá)到這個目的，使用一個非常強(qiáng)大的和實時的數(shù)據(jù)混淆解決方案是非常重要的。一些組織使用離線的“生產(chǎn)”系統(tǒng)進(jìn)行屏蔽，但隨著實時數(shù)據(jù)的混淆的成熟，實時數(shù)據(jù)混淆系統(tǒng)在成本和避免數(shù)據(jù)更新方面有更大的優(yōu)勢，所有改變都可以實時在數(shù)據(jù)庫中體現(xiàn)。

    定時審計對敏感數(shù)據(jù)的管理和訪問行為

    一致的和可靠的審計過程中，尋找可疑的活動和更新政策，不斷提高數(shù)據(jù)庫安全有很長的路要走。今天的數(shù)據(jù)庫安全產(chǎn)品可以根據(jù)可定制的規(guī)則對某些種類的訪問提供警報服務(wù)。

    讓每個公司都能保護(hù)得起數(shù)據(jù)庫安全

    在以前數(shù)據(jù)庫安全保護(hù)只有少數(shù)大公司能夠花大價錢才能搞好，數(shù)據(jù)庫防火墻非常昂貴，制定規(guī)則，審計行為都需要大量的人力去解決，小公司基本沒有能力去做�，F(xiàn)在RASP是一種非常好的解決方案，只要制定簡單規(guī)則，比如只有管理員能訪問生產(chǎn)數(shù)據(jù)庫等，其他所有數(shù)據(jù)庫訪問都通過應(yīng)用程序訪問，而每個應(yīng)用程序都安裝RASP保護(hù)程序，這樣數(shù)據(jù)庫的安全是有保障的。