The invention relates to the field of information security technology, in particular to a method for realizing a database firewall. The basic flow of the present invention is to first realize a key IO library function of the database process to be searched and redirected, and to replace the key function to realize the dynamic library of drainage; then, realize a tool that can realize dynamic database injection by using the support mechanism provided by the operating system platform; finally, when the target database is running, the database process is realized. Implement dynamic library injection and redirect the objective function to the replacement function implemented in the first step. The replacement function sends the data to the protocol parsing module according to the set execution strategy; the data is parsed and identified in the protocol parsing module, and sent to the strategy and operation module; finally, the database operation is processed according to the user configuration operation strategy. The invention provides a firewall implementation method suitable for different databases.
【技术实现步骤摘要】
一种数据库防火墙实现方法
本专利技术涉及信息安全
,特别是一种数据库防火墙的实现方法。
技术介绍
信息安全领域中,数据库防火墙系统对数据库访问行为进行监视、危险操作阻断、操作权限管控、可疑行为审计等处理,是保障数据库操作安全的重要机制和系统。从数据获取形式的角度来划分,现有数据库防火墙实现方案及缺点如下:一、基于网络数据包镜像转发的旁路监听部署模式的通信数据获取方案。这种方案无法干涉数据库客户端到数据库的通信过程,无法实现操作命令主动拦截、阻断等过滤操作,功能严重受限;二、基于网络桥接(代理)模式,串行部署的通信数据获取方案。这种方案需要对网络架构做出一定的调整,对原来网络拓扑产生影响,部署不便;并且因为串行部署的原因,其性能和可靠性将对数据库服务造成一定影响;旁路以及桥接两种通信数据获取(部署)方案都有一个重要的缺点,就是它们都从网络链路获取数据,对网络架构或者设备有依赖,并且位于通信路径的中间,这导致它们无法处理加密通信数据,应用场景受限;另外一个重大缺点就是,此两种模式的数据库防火墙一般部署在专用硬件设备上,这导致采购和使用成本相对高;以及使用灵活性差,并不适用于当下日趋成为应用部署主流的云应用和云平台;为了解决以上问题,需要一种不依赖和不影响网络拓扑的、适用于加密通信环境的、低成本和高灵活性的、云平台友好的数据库防火墙解决方案。
技术实现思路
本专利技术解决的技术问题在于提供一种基于对数据库进程进行动态库注入来替换关键IO函数,实现数据获取与引流的数据库防火墙实现方法;提供一种不依赖和不影响网络拓扑的、适用于加密通信环境的、低成本和高灵活性的、云 ...
【技术保护点】
1.一种数据库防火墙的实现方法,其特征在于,所述的方法包括如下步骤:步骤1:实现包含重定向和引流IO函数的动态库,及基于平台定制的动态库注入工具;使用动态库注入工具向运行中的数据库进程注入实现的动态库;步骤2:动态库被注入后执行初始化过程,注入工具和被注入的动态库配合查找目标IO函数,并替换为被注入的动态库里的IO函数以实现重定向;步骤3:注入并重定向成功后,开始对数据库访问流量进行处理;引流方式支持串联和旁路模式;步骤4:如果是旁路模式,将流量交给数据库防火墙后续步骤处理,并立刻返回到函数调用者;如果是串联模式,则将流量交给后续处理步骤,并等待返回处理结果再继续原来的IO路径;步骤5:访问流量进入数据库协议解析模块;步骤6:经协议解析模块解析后输出标准数据库操作数据,数据交给策略模块进行处理;如果是串行模式,则处理后返回处理结果到步骤4,否则就不返回;最后进入记录模块记录处理结果,结束一个处理流程。
【技术特征摘要】
1.一种数据库防火墙的实现方法,其特征在于,所述的方法包括如下步骤:步骤1:实现包含重定向和引流IO函数的动态库,及基于平台定制的动态库注入工具;使用动态库注入工具向运行中的数据库进程注入实现的动态库;步骤2:动态库被注入后执行初始化过程,注入工具和被注入的动态库配合查找目标IO函数,并替换为被注入的动态库里的IO函数以实现重定向;步骤3:注入并重定向成功后,开始对数据库访问流量进行处理;引流方式支持串联和旁路模式;步骤4:如果是旁路模式,将流量交给数据库防火墙后续步骤处理,并立刻返回到函数调用者;如果是串联模式,则将流量交给后续处理步骤,并等待返回处理结果再继续原来的IO路径;步骤5:访问流量进入数据库协议解析模块;步骤6:经协议解析模块解析后输出标准数据库操作数据,数据交给策略模块进行处理;如果是串行模式,则处理后返回处理结果到步骤4,否则就不返回;最后进入记录模块记录处理结果,结束一个处理流程。2.根据权利要求1所述的方法,其特征在于:所述的动态库将截...
【专利技术属性】
技术研发人员:韩飞,刘勇彬,季统凯,
申请(专利权)人:国云科技股份有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。