自2015年8月至9月，數(shù)據(jù)庫(kù)安全專業(yè)提供商安華金和與第三方社區(qū)合作，共同面向廣大IT從業(yè)人員進(jìn)行數(shù)據(jù)庫(kù)防火墻市場(chǎng)認(rèn)知度調(diào)研，期望真實(shí)獲取來(lái)自用戶的反饋，把握客戶需求和體驗(yàn)，從而進(jìn)行數(shù)據(jù)庫(kù)防火墻產(chǎn)品的研發(fā)與改進(jìn)。通過對(duì)400個(gè)有效樣本進(jìn)行分析，總結(jié)歸納《數(shù)據(jù)庫(kù)防火墻技術(shù)市場(chǎng)調(diào)研報(bào)告》分享大家。

本次調(diào)研群體分布于全國(guó)各地，有意思的是，對(duì)于安全漏洞高發(fā)地區(qū)排名前三位的北京、上海、廣東，本次調(diào)查反饋用戶數(shù)量排名前三位的也對(duì)應(yīng)到這三個(gè)地區(qū)。而在行業(yè)分布上，比較廣泛。參與調(diào)研用戶的角色，主要是網(wǎng)管/運(yùn)維/系統(tǒng)管理員，軟件工程師/程序員，DBA/數(shù)據(jù)庫(kù)管理與開發(fā)人員。

根據(jù)調(diào)查結(jié)果顯示， 400個(gè)有效樣本反饋用戶對(duì)數(shù)據(jù)庫(kù)防火墻一經(jīng)有一定認(rèn)知，同時(shí)認(rèn)為數(shù)據(jù)庫(kù)防火墻應(yīng)該是應(yīng)用防火墻的有效補(bǔ)充，對(duì)數(shù)據(jù)庫(kù)防火墻的作用還是給予肯定的。以下分別從不同維度展開說明：

75%以上的調(diào)研對(duì)象對(duì)數(shù)據(jù)庫(kù)防火墻有認(rèn)知

數(shù)據(jù)顯示，75%以上調(diào)研人群表示對(duì)數(shù)據(jù)庫(kù)防火墻偶爾知道，而真正使用過的僅為10%

圖 1.1 調(diào)研對(duì)象對(duì)數(shù)據(jù)庫(kù)防火墻的認(rèn)知

國(guó)產(chǎn)數(shù)據(jù)庫(kù)防火墻品牌認(rèn)知度低于國(guó)際品牌

在現(xiàn)有Oracle、McAfee、Imperva及安華金和等國(guó)內(nèi)外數(shù)據(jù)庫(kù)防火墻品牌選項(xiàng)中，58%調(diào)查對(duì)象更熟悉Oracle，安華金和僅次于McAfee排名第三位，占比14%。這個(gè)數(shù)據(jù)顯示，國(guó)產(chǎn)化的產(chǎn)品應(yīng)用任重而道遠(yuǎn)。

圖 1.2 數(shù)據(jù)庫(kù)防火墻品牌調(diào)研結(jié)果

用戶對(duì)十大數(shù)據(jù)庫(kù)防火墻價(jià)值認(rèn)知

從數(shù)據(jù)庫(kù)防火墻產(chǎn)品的價(jià)值體現(xiàn)中，用戶認(rèn)知度最高的還是防SQL注入、獨(dú)立于數(shù)據(jù)庫(kù)提供細(xì)粒度的訪問控制、針對(duì)數(shù)據(jù)庫(kù)漏洞行為進(jìn)行主動(dòng)攔截和阻斷。

圖 1.3 數(shù)據(jù)庫(kù)防火墻功能認(rèn)知排序

用戶對(duì)數(shù)據(jù)庫(kù)防火墻部署的選擇

對(duì)于數(shù)據(jù)庫(kù)防火墻部署在應(yīng)用側(cè)、運(yùn)維側(cè)還是數(shù)據(jù)庫(kù)前段，用戶有不同的理解。61%的用戶認(rèn)為應(yīng)該部署在應(yīng)用側(cè)，防止外部黑客的數(shù)據(jù)庫(kù)入侵行為;23%用戶則認(rèn)為數(shù)據(jù)庫(kù)防火墻應(yīng)該部署在數(shù)據(jù)庫(kù)的前端，對(duì)所有的數(shù)據(jù)庫(kù)訪問行為進(jìn)行控制;16%的用戶認(rèn)為產(chǎn)品應(yīng)該部署在維護(hù)側(cè)，對(duì)內(nèi)外部運(yùn)維人員的數(shù)據(jù)庫(kù)操作進(jìn)行細(xì)粒度控制。

數(shù)據(jù)庫(kù)防火墻部署在不同的位置，防護(hù)的重點(diǎn)有所不同，如果部署在數(shù)據(jù)庫(kù)前端，既能實(shí)現(xiàn)來(lái)自外部人員的攻擊，又能防止內(nèi)部人員的誤操作。如果數(shù)據(jù)庫(kù)防火墻部署在運(yùn)維側(cè)，主要對(duì)內(nèi)部人員誤操作、批量刪除或是批量下載數(shù)據(jù)進(jìn)行防護(hù)。如果數(shù)據(jù)庫(kù)防火墻部署在應(yīng)用側(cè)，防御重點(diǎn)在于基于數(shù)據(jù)庫(kù)協(xié)議，針對(duì)SQL語(yǔ)法/詞法進(jìn)行精確協(xié)議解析，從而防止外部對(duì)數(shù)據(jù)庫(kù)漏洞的攻擊和SQL注入。

如果防火墻部署在應(yīng)用側(cè)，用戶對(duì)旁路、網(wǎng)關(guān)、代理、網(wǎng)橋這四類部署模式的態(tài)度也不同。其中旁路部署占比52%，從一定程度上反映出，串聯(lián)部署防火墻，用戶還是有所顧慮。

圖 1.4 數(shù)據(jù)庫(kù)防火墻應(yīng)用側(cè)部署模式調(diào)研結(jié)果

70%用戶希望數(shù)據(jù)庫(kù)防火墻提供對(duì)數(shù)據(jù)庫(kù)主動(dòng)防御的同時(shí)，對(duì)數(shù)據(jù)庫(kù)性能的影響降至最低

通過調(diào)研，我們?cè)囍綄び脩舨少?gòu)數(shù)據(jù)庫(kù)防火墻時(shí)的需求，以期對(duì)數(shù)據(jù)庫(kù)防火墻的賣點(diǎn)進(jìn)行匯總排序。結(jié)果顯示，70%被調(diào)查對(duì)象希望通過采購(gòu)數(shù)據(jù)庫(kù)防火墻，進(jìn)行強(qiáng)大而周密的策略防護(hù)方案，通過設(shè)置多種策略關(guān)聯(lián)對(duì)數(shù)據(jù)庫(kù)實(shí)現(xiàn)周密的防護(hù)。同時(shí)，高防護(hù)的過程中要求對(duì)數(shù)據(jù)庫(kù)性能影響降到最低。依次排在次要位置的需求分別是：(1)希望采購(gòu)數(shù)據(jù)庫(kù)防火墻提供精準(zhǔn)的數(shù)據(jù)庫(kù)防護(hù)能力，避免錯(cuò)誤攔截和攻擊漏洞;(2)最新最全面的虛擬補(bǔ)丁功能，防護(hù)因數(shù)據(jù)庫(kù)漏洞和sql注入導(dǎo)致的數(shù)據(jù)庫(kù)惡意攻擊;(3)彌補(bǔ)市場(chǎng)上極光掃描器等設(shè)備對(duì)安全漏洞報(bào)告的缺失。

在數(shù)據(jù)庫(kù)防火墻的擴(kuò)展性上，加密通訊需求占60%

在數(shù)據(jù)庫(kù)防火墻的擴(kuò)展性上，60%用戶普遍認(rèn)為，數(shù)據(jù)庫(kù)防火墻可以考慮提供SSL這樣的加密通道，以保持客戶端與數(shù)據(jù)庫(kù)的加密通訊;其次，23%用戶認(rèn)為數(shù)據(jù)庫(kù)防火墻應(yīng)當(dāng)考慮對(duì)通過SSH、Telnet進(jìn)行的遠(yuǎn)程運(yùn)維中的SQL操作也進(jìn)行安全控制和審計(jì);17%用戶認(rèn)為數(shù)據(jù)庫(kù)防火墻可以考慮融入一些傳統(tǒng)防火墻的功能，比如IP和端口控制。

客戶通常會(huì)將數(shù)據(jù)庫(kù)防火墻與現(xiàn)有市場(chǎng)上其他安全產(chǎn)品比如WAF、堡壘機(jī)、網(wǎng)閘、網(wǎng)絡(luò)防火墻等進(jìn)行比較。用戶對(duì)比后的理解和看法如下：

1、數(shù)據(jù)庫(kù)防火墻與WAF對(duì)比

數(shù)據(jù)庫(kù)防火墻與WAF之間的差異性，是用戶經(jīng)常會(huì)問到的一個(gè)問題。 59%的用戶對(duì)此有明確認(rèn)知，WAF主要防御對(duì)web應(yīng)用系統(tǒng)的攻擊，但黑客具備繞過WAF攻擊數(shù)據(jù)庫(kù)服務(wù)器的能力，通過數(shù)據(jù)庫(kù)防火墻可以增加安全防線，能夠準(zhǔn)確的找到兩個(gè)產(chǎn)品的側(cè)重點(diǎn)。只有7%的用戶認(rèn)為應(yīng)用端只需部署WAF，即可防止住惡意的攻擊。

2、數(shù)據(jù)庫(kù)防火墻與堡壘機(jī)對(duì)比

該問題，從用戶的反饋結(jié)果來(lái)看，答案的階梯性很明顯，66%的用戶認(rèn)為堡壘機(jī)無(wú)法代替數(shù)據(jù)庫(kù)防火墻，壘機(jī)對(duì)于數(shù)據(jù)庫(kù)操作無(wú)法進(jìn)行細(xì)粒度控制，無(wú)法根據(jù)影響行數(shù)或操作的危害特征進(jìn)行運(yùn)維側(cè)管控;而防火墻可以滿足以上特性。仍有10%用戶認(rèn)為運(yùn)維側(cè)部署堡壘機(jī)已經(jīng)足夠，即可防止住運(yùn)維側(cè)的數(shù)據(jù)泄露或篡改工作。

3、數(shù)據(jù)庫(kù)防火墻與網(wǎng)閘對(duì)比

大部分用戶對(duì)數(shù)據(jù)庫(kù)防火墻與網(wǎng)閘的功能比較清晰， 90%以上的用戶能夠明確區(qū)別兩者的作用，認(rèn)同外網(wǎng)部署應(yīng)用服務(wù)器，內(nèi)網(wǎng)部署數(shù)據(jù)庫(kù)，在內(nèi)外網(wǎng)之間部署數(shù)據(jù)庫(kù)防火墻;數(shù)據(jù)庫(kù)防火墻屏蔽掉其他通訊協(xié)議，保證數(shù)據(jù)庫(kù)通訊協(xié)議的安全性;通過這種方式既可以起到內(nèi)外網(wǎng)的隔離，又能達(dá)到實(shí)施成本和工程復(fù)雜度的降低?，F(xiàn)實(shí)應(yīng)用中，網(wǎng)閘是可以讓數(shù)據(jù)庫(kù)協(xié)議穿透的，但網(wǎng)閘無(wú)對(duì)數(shù)據(jù)庫(kù)漏洞攻擊的防御能力;通過數(shù)據(jù)庫(kù)防火墻可以提升防御能力。僅有9%用戶認(rèn)為通過網(wǎng)閘完全實(shí)現(xiàn)了內(nèi)外網(wǎng)或不同密級(jí)網(wǎng)之間的隔離，不需要數(shù)據(jù)庫(kù)防火墻。

4、數(shù)據(jù)庫(kù)防火墻與網(wǎng)絡(luò)防火墻對(duì)比

數(shù)據(jù)結(jié)果顯示，目前市場(chǎng)上單一認(rèn)為只需要數(shù)據(jù)庫(kù)防火墻或網(wǎng)絡(luò)防火墻的認(rèn)知已經(jīng)逐步被趨勢(shì)所替代，94%的用戶已經(jīng)清晰認(rèn)識(shí)到網(wǎng)絡(luò)防火墻是TCP/IP層的防火墻，數(shù)據(jù)庫(kù)防火墻是應(yīng)用層防火墻;相互補(bǔ)充，不可互為替代;由于數(shù)據(jù)庫(kù)通訊協(xié)議的復(fù)雜性，下一代防火墻無(wú)法防止隱藏在合法協(xié)議中的數(shù)據(jù)庫(kù)攻擊，仍然需要數(shù)據(jù)庫(kù)防火墻來(lái)保障數(shù)據(jù)庫(kù)安全。