一种基于登录参数的数据库准入防火墙系统技术方案

本发明专利技术公开了一种基于登录参数的数据库准入防火墙系统，该系统包括网络接入模块、协议解码模块、规则处理模块以及日志告警模块；本发明专利技术提出的数据库准入防火墙，通过解析数据库登录参数，并且将登录参数作为认证因子进行混合匹配认证，只要有一个因子不符合制定的规则，就会被阻断，确保数据库准入行为的可靠性。即使攻击者想通过更换账号、工具、接入设备等方式对数据库进行访问，都会被精准识别并被阻断，从数据库安全接入层面杜绝非法访问数据库，非法操作数据库的行为，从而大大降低了数据库的安全风险。

A database access firewall system based on login parameters

The invention discloses a log database access based on parameters of the firewall system, the system includes a network access module, protocol decoding module, rule processing module and log alarm module; database access firewall provided by the invention, through the analysis of the database log parameters and log parameters as the authentication factor mix and match certification, as long as there is a a factor does not conform to the rules, will ensure that the database access is blocked, reliability behavior. Even if the attacker wants to change through the account, tools, access equipment etc. to access the database, will be accurate identification and is blocked, prevent illegal access to the database from the database security access level, illegal operation of the database, thereby greatly reducing the risk of security database.

【技术实现步骤摘要】
一种基于登录参数的数据库准入防火墙系统
本专利技术属于信息安全领域，尤其涉及一种基于登录参数的数据库准入防火墙系统。
技术介绍
随着企业信息化进程的发展，用户将企业的核心业务数据和客户信息都放置到了数据库中，数据库的安全管理需求变得越来越迫切，由于数据库自身的安全性不足等原因，攻击者可通过各种途径进行非法访问，甚至第三方人员的访问也无法进行有效的管控。为保障数据库以及信息系统的安全，各企业和单位采取了许多防护措施，但绝大多数的防护措施和方法只能进行地址、端口、协议等网络层过滤现有的安全防护，对数据库访问权限上，并不能进行有效的控制，极易发生越权访问，恶意数据库接入，数据库信息外泄和篡改的情况。此外，很多用户环境下，攻击者设置可以通过伪造IP地址，在合法的设备上上传非法的数据库访问工具，甚至是直接用高权限数据库账号进行访问，现有的数据库安全体系，无法对这些攻击进行有效防御。
技术实现思路
为解决上述数据库安全访问问题，杜绝非授权用户接入数据库系统，本专利技术提供了一种基于登录参数的数据库准入防火墙系统。为实现上述目的以及实际部署需要，本专利技术在TCP/IP五元组流标识基础之上，增加数据库账号名称、访问工具名称、访问源主机名称、访问源用户名称、访问时间等数据库登录参数作为新的流标识因子，利用网络防火墙访问控制逻辑及其展现形式，根据设置的过滤规则触发阻断动作。本专利技术通过以下方案来实现：一种基于登录参数的数据库准入防火墙系统，该系统包括网络接入模块、协议解码模块、规则处理模块以及日志告警模块；所述网络接入模块包含两种接入模式：并联接入以及串联接入，可根据不同需求进行不同级别的部署；所述协议解码模块分析并识别数据库通讯协议以及SQL操作语句，进行应用层的协议解码，通过流会话解码技术，对数据库通讯协议进行流重组，所有解析语句都会标记唯一的会话标识，然后提取出数据库登录参数；数据库登录参数在网络传输中依据数据库协议不同而有差异；所述规则处理模块包含三部分：规则配置、规则过滤以及动作处理；所述规则配置采用防火墙规则表现形式，支持黑、白名单模式；所述规则过滤支持任意登录参数因子组合匹配，所有登录参数可以进行任意组合，只要有任何一个登录参数因子不符合规则策略，都会触发后续的动作处理；所述动作处理根据网络接入模块不同采用不同处理办法，串联准入网络墙规则处理动作采用“丢弃+RST阻断”实现方式；并联接入数据库准入防火墙采用“RST阻断”实现方式；规则处理模块采用流标记跟踪每一个数据包，流一旦标记为阻断，对于与此流相关联的后续每一个网络包，都将触发阻断操作，以便彻底阻断用户接入数据库服务，避免无法阻断网络联接导致准入策略无效事件发生；所述日志告警模块集中处理规则告警，并以事件形式集中存放于内部数据库中，以便管理员分析、总结和统计。进一步地，所述数据库登录参数包括数据库账号名称、访问工具名称、访问源主机名称、访问源用户名称、访问源IP地址、访问时间中的一个或多个。进一步地，所述网络接入模块的串联接入模式，通过配置BYPASS网卡实现透明网桥。进一步地，所述协议解码模块，包括对SQLServer、Mysql、DB2、Oracle、Informix、Sybase的数据库协议解码。进一步地，所述协议解码模块，针对SQLServer的TDS协议登录参数加密字段，通过获取加密证书实现加密参数解析。进一步地，所述规则处理模块，可根据协议解码模块解析的登录参数，通过白名单的方式进行规则配置，即只有配置在策略内的数据库接入行为是允许的，其他的数据库接入都会被拒绝和阻断。进一步地，所述规则处理模块采用任意登录参数因子组合匹配模式，该模式支持的登录参数因子如下：数据库账号名称、访问工具名称、访问源主机名称、访问源用户名称，访问源IP地址，访问时间；任一登录参数因子不符合策略规则，都会触发阻断动作。本专利技术的有益效果是：本专利技术提出的数据库准入防火墙，通过解析数据库登录参数，并且将登录参数作为认证因子进行混合匹配认证，只要有一个因子不符合制定的规则，就会被阻断，确保数据库准入行为的可靠性。即使攻击者想通过更换账号、工具、接入设备等方式对数据库进行访问，都会被精准识别并被阻断，从数据库安全接入层面杜绝非法访问数据库，非法操作数据库的行为，从而大大降低了数据库的安全风险。附图说明图1为本专利技术数据库准入防火墙的系统架构图；图2为本专利技术数据库准入防火墙的系统流程图。具体实施方式下面结合附图和具体实施例对本专利技术作进一步详细说明。如图1所示，本专利技术提供的一种基于登录参数的数据库准入防火墙系统，包含四大模块，分别是网络接入模块、协议解码模块、规则处理模块以及日志告警模块。用户访问数据库会经过数据库准入防火墙系统的分析和规则匹配，通过规则允许的才能够进行访问数据库，非允许访问会被阻断，上述模块其具体功能如下：1)所述网络接入模块包含两种接入模式：并联接入以及串联接入，可根据不同需求进行不同级别的部署。2)所述协议解码模块分析并识别数据库通讯协议以及SQL操作语句，进行应用层的协议解码，比如Oracle的TNS协议和SQLserver的TDS协议等，通过流会话解码技术，对数据库通讯协议进行流重组，所有解析语句都会标记唯一的会话标识，然后提取出数据库账号名称、访问工具名称、访问源主机名称、访问源用户名称、访问源IP地址、访问时间等数据库登录参数；数据库登录参数在网络传输中依据数据库协议不同而有差异；3)所述规则处理模块包含三部分：规则配置、规则过滤以及动作处理；所述规则配置采用防火墙规则表现形式，支持黑、白名单模式；所述规则过滤支持任意登录参数因子组合匹配，所有登录参数可以进行任意组合，只要有任何一个登录参数因子不符合规则策略，都会触发后续的动作处理；所述动作处理根据网络接入模块不同采用不同处理办法，串联准入网络墙规则处理动作采用“丢弃+RST阻断”实现方式；并联接入数据库准入防火墙采用“RST阻断”实现方式；本专利技术的规则处理模块区别于传统IDS、IPS阻断方式是采用流标记跟踪每一个数据包，流一旦标记为阻断，对于与此流相关联的后续每一个网络包，都将触发阻断操作，以便彻底阻断用户接入数据库服务，避免无法阻断网络联接导致准入策略无效事件发生；4)所述日志告警模块：集中处理规则告警，并以事件形式集中存放于内部数据库中，以便管理员分析、总结和统计。所述网络接入模块的串联接入模式，通过配置BYPASS网卡实现透明网桥。所述协议解码模块，包括对SQLServer、Mysql、DB2、Oracle、Informix、Sybase的数据库协议解码。所述协议解码模块，针对SQLServer的TDS协议登录参数加密字段，通过获取加密证书实现加密参数解析。所述规则处理模块采用任意登录参数因子组合匹配模式，该模式支持的登录参数因子如下：数据库账号名称、访问工具名称、访问源主机名称、访问源用户名称，访问源IP地址，访问时间；任一登录参数因子不符合策略规则，都会触发阻断动作。所述规则处理模块，可根据协议解码模块解析的登录参数，通过白名单的方式进行规则配置，即只有配置在策略内的数据库接入行为是允许的，其他的数据库接入都会被拒绝和阻断。实施例：数据库准入防火墙通过串联部署在用户环境，用户A和用户B每次访问本文档来自技高网...

【技术保护点】
一种基于登录参数的数据库准入防火墙系统，其特征在于，该系统包括网络接入模块、协议解码模块、规则处理模块以及日志告警模块；所述网络接入模块包含两种接入模式：并联接入以及串联接入，可根据不同需求进行不同级别的部署；所述协议解码模块分析并识别数据库通讯协议以及SQL操作语句，进行应用层的协议解码，通过流会话解码技术，对数据库通讯协议进行流重组，所有解析语句都会标记唯一的会话标识，然后提取出数据库登录参数；数据库登录参数在网络传输中依据数据库协议不同而有差异；所述规则处理模块包含三部分：规则配置、规则过滤以及动作处理；所述规则配置采用防火墙规则表现形式，支持黑、白名单模式；所述规则过滤支持任意登录参数因子组合匹配，所有登录参数可以进行任意组合，只要有任何一个登录参数因子不符合规则策略，都会触发后续的动作处理；所述动作处理根据网络接入模块不同采用不同处理办法，串联准入网络墙规则处理动作采用“丢弃+RST阻断”实现方式；并联接入数据库准入防火墙采用“RST阻断”实现方式；规则处理模块采用流标记跟踪每一个数据包，流一旦标记为阻断，对于与此流相关联的后续每一个网络包，都将触发阻断操作，以便彻底阻断用户接入数据库服务，避免无法阻断网络联接导致准入策略无效事件发生；所述日志告警模块集中处理规则告警，并以事件形式集中存放于内部数据库中，以便管理员分析、总结和统计。...

【技术特征摘要】
1.一种基于登录参数的数据库准入防火墙系统，其特征在于，该系统包括网络接入模块、协议解码模块、规则处理模块以及日志告警模块；所述网络接入模块包含两种接入模式：并联接入以及串联接入，可根据不同需求进行不同级别的部署；所述协议解码模块分析并识别数据库通讯协议以及SQL操作语句，进行应用层的协议解码，通过流会话解码技术，对数据库通讯协议进行流重组，所有解析语句都会标记唯一的会话标识，然后提取出数据库登录参数；数据库登录参数在网络传输中依据数据库协议不同而有差异；所述规则处理模块包含三部分：规则配置、规则过滤以及动作处理；所述规则配置采用防火墙规则表现形式，支持黑、白名单模式；所述规则过滤支持任意登录参数因子组合匹配，所有登录参数可以进行任意组合，只要有任何一个登录参数因子不符合规则策略，都会触发后续的动作处理；所述动作处理根据网络接入模块不同采用不同处理办法，串联准入网络墙规则处理动作采用“丢弃+RST阻断”实现方式；并联接入数据库准入防火墙采用“RST阻断”实现方式；规则处理模块采用流标记跟踪每一个数据包，流一旦标记为阻断，对于与此流相关联的后续每一个网络包，都将触发阻断操作，以便彻底阻断用户接入数据库服务，避免无法阻断网络联接导致准入策略无效事件发生；所述日志告警模块集中处理规则告警，并以事件形式集中存放于内部数据库中，以便管理员分析、总结和统计。2.根据权利要求1所述的一种基于登录参数的数据...

【专利技术属性】
技术研发人员：陈云，裴俊，
申请(专利权)人：杭州汉领信息科技有限公司，
类型：发明
国别省市：浙江,33