本文结合数据库防火墙产品行业应用实践对GB/T20281-2020中数据库防火墙所定义的安全功能要求和性能要求进行阐述和应用解析。
GB/T20281-2020《信息安全技术 防火墙安全技术要求和测试评价方法》于2020年11月1日正式实施,已经运行两年整。标准在GB/T 20281-2015基础上,将各类防火墙国家标准进行了系统、全面梳理,形成了统一的技术框架,将防火墙按照保护对象和资产角度划分为网络型防火墙、Web应用防火墙、数据库防火墙和主机型防火墙,并明确了各类防火墙的定义、安全技术要求、测试评价方法及安全等级划分。
GB/T20281-2020中正式对数据库防火墙有了定义:
部署于数据库服务器前端,对流经的数据库访问和响应数据进行解析,具备数据库的访问控制及安全防护功能的网络安全产品。
本文结合数据库防火墙产品行业应用实践对GB/T20281-2020中数据库防火墙所定义的安全功能要求和性能要求进行阐述和应用解析。
第一部分、数据库防火墙安全功能要求
01 组网与部署
1.1 部署模式
| 安全技术要求 |
数据库防火墙基本级 |
数据库防火墙增强级 |
| 部署模式 |
6.1.1.1 a)、c) a)透明传输模式;c)反向代理模式 |
6.1.1.1 a)、c) a)透明传输模式;c)反向代理模式 |
| 解读 |
数据库防火墙产品基本级和增强级都要求支持透明传输模式和反向代理模式 |
|
应用解析:从实践部署角度,透明传输模式是将数据库防火墙串接到应用服务器与数据库服务器之间,所有流量需经过数据库防火墙通过策略匹配校验后方可放行访问数据库,因此可发挥最佳防御效能,但对数据库防火墙自身的软硬件性能及稳定性要求较高,同时要求设备应支持软硬bypass机制,避免当设备出现故障时,带来业务中断的风险。反向代理是将数据库防火墙物理旁路、逻辑串联到用户的网络环境中,当用户发起数据库访问请求时,与目标数据库没有直接连接,而是连接到数据库防火墙,经由数据库防火墙进行策略匹配校验后通过数据库防火墙代理转发访问数据库,因此,反向代理模式需要业务系统后台代码更改数据库地址和端口,使用数据库防火墙提供的代理地址和端口访问数据库,同时要求设备应支持软硬bypass机制,避免当设备出现故障时,带来业务中断的风险。两种部署模式均能很好地起到数据库资产的保护目的,也是市面上最常见的两种部署模式。
1.2 高可用性
| 安全技术要求 |
数据库防火墙基本级 |
数据库防火墙增强级 |
|
| 高可用性 |
冗余部署 |
—— |
6.1.1.3.1 冗杂部署:产品应支持“主-备”、“主-主”或“集群”中的一种或多种冗余部署模式。 |
| 解读 |
数据库防火墙产品基本级对于冗余部署没有要求;增强级要求产品应支持“主-备”、“主-主”或“集群”中的一种或多种冗余部署模式。 |
||
应用解析:数据库防火墙为业务侧的安全产品,业务访问流量往往较大,且数据库防火墙产品通常为串接到用户的网络环境中,因此对设备自身的性能和稳定性要求较高,应采用HA高可用容灾机制,支持“主主”、“主备”、“集群”模式。
1.3 设备虚拟化
| 安全技术要求 |
数据库防火墙基本级 |
数据库防火墙增强级 |
| 虚拟化部署 |
6.1.1.4.2 有则适用 虚拟化部署:若产品为虚拟化形态,应支持部署于虚拟化平台,并接受平台统一管理,包括但不限于:a)支持不属于一种虚拟化平台,如VMware ESXi、Citrix Xenserver和Hyper-V等;b)结合虚拟化平台实现产品资源弹性伸缩,根据虚拟化产品的负载情况动态调整资源;c)结合虚拟化平台实现故障迁移,当虚拟化产品出现故障时能实现自动更新替换。 |
6.1.1.4.2 有则适用 虚拟化部署:若产品为虚拟化形态,应支持部署于虚拟化平台,并接受平台统一管理,包括但不限于:a)支持不属于一种虚拟化平台,如VMware ESXi、Citrix Xenserver和Hyper-V等;b)结合虚拟化平台实现产品资源弹性伸缩,根据虚拟化产品的负载情况动态调整资源;c)结合虚拟化平台实现故障迁移,当虚拟化产品出现故障时能实现自动更新替换。 |
| 解读 |
数据库防火墙产品基本级和增强级都要求可支持部署于VMware、云平台和容器化平台等虚拟化环境,支持对虚拟化环境资源的安全保护。 |
|
应用解析:当前,越来越多的网络环境采用虚拟化部署方案,业务上云以及轻量级的容器化部署逐渐成为趋势,数据库防火墙产品应
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
