本申请公开了一种基于多防火墙的数据库审计方法和装置,该方法包括:多个防火墙中的每个防火墙均将通过该防火墙建立的会话的会话信息发送给所述多个防火墙中的其他防火墙;第一防火墙接收到所述数据库客户端和所述数据库之间交互的数据包;判断所述数据包所属的会话是否通过所述第一防火墙建立的,如果是,则将所述数据包发送给所述第一防火墙上设置的审计程序进行审计;如果不是,则获取建立所述数据包所属会话的第二防火墙,并将所述数据包发送给所述第二防火墙。通过本申请解决了现有技术中访问数据库的流量被分散到不同的防火墙进行审计所导致的无法得到完整审计结果的问题,能够在一定程度上保证数据库审计结果的完整性。的完整性。的完整性。
【技术实现步骤摘要】
一种基于多防火墙的数据库审计方法和装置
[0001]本申请涉及到数据库审计领域,具体而言,涉及一种基于多防火墙的数据库审计方法和装置。
技术介绍
[0002]数据库审计(简称DBAudit)以安全事件为中心,以全面审计和精确审计为基础,实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行实时告警。它通过对用户访问数据库行为的记录、分析和汇报,来帮助用户事后生成合规报告、事故追根溯源,同时通过大数据搜索技术提供高效查询审计报告,定位事件原因,以便日后查询、分析、过滤,实现加强内外部数据库网络行为的监控与审计,提高数据资产安全。
[0003]对数据库进行审计的时候,一般是获取访问数据库的流量,对这些流量进行审计。为了保证数据库的安全,会设置防火墙(或称为防火墙)对数据库进行保护。网络防火墙是一种用来加强网络之间访问控制的特殊网络互联设备。计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
[0004]在数据库位于防火墙之后的情况下,可以通过防火墙将访问数据库的流量发送给用于进行审计的审计程序,该审计程序可以位于防火墙上也可以位于其他与防火墙连接的设备上。
[0005]考虑到防火墙会出现故障,在防火墙出现故障的时候就会存在的安全隐患,为了解决这个问题,在数据库之前会使用了两个或两个以上的防火墙,这些防火墙一方面增加了可用防火墙的数量,避免了一个防火墙失效后的安全隐患;另一方面多个防火墙也能够起到分流的作用,达到防火墙的负载均衡。但是,这对于数据库审计来说是存在问题的,例如,同一个数据库会话对数据库的访问可能分散到不同的防火墙上,这样就会有不同的审计程序来进行审计,无法得到一个完整的审计结果。
技术实现思路
[0006]本申请实施例提供了一种基于多防火墙的数据库审计方法和装置,以至少解决现有技术中访问数据库的流量被分散到不同的防火墙进行审计所导致的无法得到完整审计结果的问题。
[0007]根据本申请的一个方面,提供了一种基于多防火墙的数据库审计方法,包括:多个防火墙中的每个防火墙均将通过该防火墙建立的会话的会话信息发送给所述多个防火墙中的其他防火墙;其中,所述会话为数据库客户端通过所述多个防护墙中的至少之一与数据库之间建立的,所述每个防火墙上均设置有审计程序,所述审计程序用于对所述数据库
客户端和所述数据库之间交互的数据包进行审计;第一防火墙接收到所述数据库客户端和所述数据库之间交互的数据包,其中,所述第一防火墙为所述多个防火墙中的一个;所述第一防火墙判断所述数据包所属的会话是否通过所述第一防火墙建立的,如果是,则所述第一防火墙将所述数据包发送给所述第一防火墙上设置的审计程序进行审计;如果不是,则所述第一防火墙获取建立所述数据包所属会话的第二防火墙,并将所述数据包发送给所述第二防火墙,其中,所述第二防火墙为所述多个防火墙中的一个;所述第二防火墙在接收到所述数据包之后,将所述数据包发送给所述第二防火墙上设置的审计程序进行审计。
[0008]根据本申请的另一个方面,还提供了一种基于多防火墙的数据库审计装置,位于第一防火墙中,包括:发送模块,用于将通过该防火墙建立的会话的会话信息发送给多个防火墙中的其他防火墙;其中,所述会话为数据库客户端通过所述多个防护墙中的至少之一与数据库之间建立的,所述每个防火墙上均设置有审计程序,所述审计程序用于对所述数据库客户端和所述数据库之间交互的数据包进行审计;接收模块,用于接收到所述数据库客户端和所述数据库之间交互的数据包,其中,所述第一防火墙为所述多个防火墙中的一个;判断模块,用于判断所述数据包所属的会话是否通过所述第一防火墙建立的,如果是,则所述第一防火墙将所述数据包发送给所述第一防火墙上设置的审计程序进行审计;如果不是,则获取建立所述数据包所属会话的第二防火墙,并将所述数据包发送给所述第二防火墙,其中,所述第二防火墙为所述多个防火墙中的一个;所述第二防火墙用于在接收到所述数据包之后,将所述数据包发送给所述第二防火墙上设置的审计程序进行审计。
[0009]根据本申请的另一个方面,还提供了一种电子设备,包括存储器和处理器;其中,所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器执行以实现上述的方法步骤。
[0010]根据本申请的另一个方面,还提供了一种可读存储介质,其上存储有计算机指令,其中,该计算机指令被处理器执行时实现上述的方法步骤。
[0011]在本申请实施例中,采用了多个防火墙中的每个防火墙均将通过该防火墙建立的会话的会话信息发送给所述多个防火墙中的其他防火墙;其中,所述会话为数据库客户端通过所述多个防护墙中的至少之一与数据库之间建立的,所述每个防火墙上均设置有审计程序,所述审计程序用于对所述数据库客户端和所述数据库之间交互的数据包进行审计;第一防火墙接收到所述数据库客户端和所述数据库之间交互的数据包,其中,所述第一防火墙为所述多个防火墙中的一个;所述第一防火墙判断所述数据包所属的会话是否通过所述第一防火墙建立的,如果是,则所述第一防火墙将所述数据包发送给所述第一防火墙上设置的审计程序进行审计;如果不是,则所述第一防火墙获取建立所述数据包所属会话的第二防火墙,并将所述数据包发送给所述第二防火墙,其中,所述第二防火墙为所述多个防火墙中的一个;所述第二防火墙在接收到所述数据包之后,将所述数据包发送给所述第二防火墙上设置的审计程序进行审计。通过本申请解决了现有技术中访问数据库的流量被分散到不同的防火墙进行审计所导致的无法得到完整审计结果的问题,能够在一定程度上保证数据库审计结果的完整性。
附图说明
[0012]构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实
施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
[0013]图1是根据本申请实施例的带防火墙的数据库审计的系统示意图;
[0014]图2是根据本申请实施例的基于多防火墙的数据库审计方法的流程图;以及,
[0015]图3是根据本申请实施例的防火墙之间发送会话信息的示意图。
具体实施方式
[0016]需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
[0017]需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
[0018]在以下实施方式中涉及到数据库审计、防火墙等,下面首先对以下实施方式中的技术术语进行说明。
[0019]TCP协议
[0020]传本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于多防火墙的数据库审计方法,其特征在于,包括:多个防火墙中的每个防火墙均将通过该防火墙建立的会话的会话信息发送给所述多个防火墙中的其他防火墙;其中,所述会话为数据库客户端通过所述多个防护墙中的至少之一与数据库之间建立的,所述每个防火墙上均设置有审计程序,所述审计程序用于对所述数据库客户端和所述数据库之间交互的数据包进行审计;第一防火墙接收到所述数据库客户端和所述数据库之间交互的数据包,其中,所述第一防火墙为所述多个防火墙中的一个;所述第一防火墙判断所述数据包所属的会话是否通过所述第一防火墙建立的,如果是,则所述第一防火墙将所述数据包发送给所述第一防火墙上设置的审计程序进行审计;如果不是,则所述第一防火墙获取建立所述数据包所属会话的第二防火墙,并将所述数据包发送给所述第二防火墙,其中,所述第二防火墙为所述多个防火墙中的一个;所述第二防火墙在接收到所述数据包之后,将所述数据包发送给所述第二防火墙上设置的审计程序进行审计。2.根据权利要求1所述的方法,其特征在于,所述第一防火墙判断所述数据包所属的会话是否通过所述第一防火墙建立的包括:所述第一防火墙根据所述数据包的源网络地址和端口号以及目的网络地址和端口号在所述第一防火墙中已经记录的会话信息中查找,其中,所述会话信息包括:所述数据库客户端的网络地址、所述数据库客户端的端口号、所述数据库的网络地址和所述数据库的端口号;如果所述第一防火墙能够查找到与所述数据包的源网络地址和端口号以及目的网络地址和端口号匹配的会话信息,则判断匹配的会话信息对应的会话是否是在所述第一防火墙建立的。3.根据权利要求1所述的方法,其特征在于,所述第二防火墙将所述数据包发送给所述第二防火墙上设置的审计程序进行审计包括:所述第二防火墙判断所述数据包是否来源于其他防火墙;所述第二防火墙在确定所述数据包来源于其他防火墙之后,将所述数据包发送给所述第二防火墙上设置的审计程序进行审计。4.根据权利要求3所述的方法,其特征在于,所述第二防火墙将所述数据包发送给所述第二防火墙上设置的审计程序进行审计包括:所述第二防火墙在确定所述数据包来源于所述数据库客户端或者所述数据库的情况下,所述第二防火墙在本地记录的会话信息中查找所述数据包所属的会话,在所述数据包所属的会话在所述第二防火墙建立的情况下,所述第二防火墙将所述数据包发送给所述第二防火墙上设置的审计程序进行审计。5.一种基于多防火墙的数据库审计装置,其特征在于,位于第一防火墙中,包括:发送模块,用于将通过该防火...
【专利技术属性】
技术研发人员:刘晓韬,高强花,
申请(专利权)人:北京安华金和科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。