GB/T20281-2020《信息安全技术 防火墙安全技术要求和测试评价方法》于2020年11月1日正式实施,已经运行两年整。标准在GB/T 20281-2015基础上,将各类防火墙国家标准进行了系统、全面梳理,形成了统一的技术框架,将防火墙按照保护对象和资产角度划分为网络型防火墙、Web应用防火墙、数据库防火墙和主机型防火墙,并明确了各类防火墙的定义、安全技术要求、测试评价方法及安全等级划分。
GB/T20281-2020中正式对数据库防火墙有了定义:
部署于数据库服务器前端,对流经的数据库访问和响应数据进行解析,具备数据库的访问控制及安全防护功能的网络安全产品。
本文结合数据库防火墙产品行业应用实践对GB/T20281-2020中数据库防火墙所定义的安全功能要求和性能要求进行阐述和应用解析。
第一部分、数据库防火墙安全功能要求
组网与部署
1.1 部署模式
|
安全技术要求 |
数据库防火墙基本级 |
数据库防火墙增强级 |
|
部署模式 |
6.1.1.1 a)、c) a)透明传输模式;c)反向代理模式 |
6.1.1.1 a)、c) a)透明传输模式;c)反向代理模式 |
|
解读 |
数据库防火墙产品基本级和增强级都要求支持透明传输模式和反向代理模式 |
|
应用解析:从实践部署角度,透明传输模式是将数据库防火墙串接到应用服务器与数据库服务器之间,所有流量需经过数据库防火墙通过策略匹配校验后方可放行访问数据库,因此可发挥最佳防御效能,但对数据库防火墙自身的软硬件性能及稳定性要求较高,同时要求设备应支持软硬bypass机制,避免当设备出现故障时,带来业务中断的风险。反向代理是将数据库防火墙物理旁路、逻辑串联到用户的网络环境中,当用户发起数据库访问请求时,与目标数据库没有直接连接,而是连接到数据库防火墙,经由数据库防火墙进行策略匹配校验后通过数据库防火墙代理转发访问数据库,因此,反向代理模式需要业务系统后台代码更改数据库地址和端口,使用数据库防火墙提供的代理地址和端口访问数据库,同时要求设备应支持软硬bypass机制,避免当设备出现故障时,带来业务中断的风险。两种部署模式均能很好地起到数据库资产的保护目的,也是市面上最常见的两种部署模式。
1.2 高可用性
|
安全技术要求 |
数据库防火墙基本级 |
数据库防火墙增强级 |
|
|
高可用性 |
冗余部署 |
—— |
6.1.1.3.1 冗杂部署:产品应支持“主-备”、“主-主”或“集群”中的一种或多种冗余部署模式。 |
|
解读 |
数据库防火墙产品基本级对于冗余部署没有要求;增强级要求产品应支持“主-备”、“主-主”或“集群”中的一种或多种冗余部署模式。 |
||
应用解析:数据库防火墙为业务侧的安全产品,业务访问流量往往较大,且数据库防火墙产品通常为串接到用户的网络环境中,因此对设备自身的性能和稳定性要求较高,应采用HA高可用容灾机制,支持“主主”、“主备”、“集群”模式。
1.3 设备虚拟化
|
安全技术要求 |
数据库防火墙基本级 |
数据库防火墙增强级 |
|
虚拟化部署 |
6.1.1.4.2 有则适用 虚拟化部署:若产品为虚拟化形态,应支持部署于虚拟化平台,并接受平台统一管理,包括但不限于:a)支持不属于一种虚拟化平台,如VMware ESXi、Citrix Xenserver和Hyper-V等;b)结合虚拟化平台实现产品资源弹性伸缩,根据虚拟化产品的负载情况动态调整资源;c)结合虚拟化平台实现故障迁移,当虚拟化产品出现故障时能实现自动更新替换。 |
6.1.1.4.2 有则适用 虚拟化部署:若产品为虚拟化形态,应支持部署于虚拟化平台,并接受平台统一管理,包括但不限于:a)支持不属于一种虚拟化平台,如VMware ESXi、Citrix Xenserver和Hyper-V等;b)结合虚拟化平台实现产品资源弹性伸缩,根据虚拟化产品的负载情况动态调整资源;c)结合虚拟化平台实现故障迁移,当虚拟化产品出现故障时能实现自动更新替换。 |
|
解读 |
数据库防火墙产品基本级和增强级都要求可支持部署于VMware、云平台和容器化平台等虚拟化环境,支持对虚拟化环境资源的安全保护。 |
|
应用解析:当前,越来越多的网络环境采用虚拟化部署方案,业务上云以及轻量级的容器化部署逐渐成为趋势,数据库防火墙产品应适应当前和未来网络环境的发展变化,支持对部署在不同网络环境中的同一资产形态进行保护。
1.4 IPV6协议支持
|
安全技术要求 |
数据库防火墙基本级 |
数据库防火墙增强级 |
|
支持纯IPv6网络环境 |
6.1.1.5.1 有则适用 支持IPv6网络环境:若产品支持IPv6应支持在IPv6的网络环境下正常工作,能有效运行其安全功能和自身安全功能。 |
6.1.1.5.1 有则适用 支持IPv6网络环境:若产品支持IPv6应支持在IPv6的网络环境下正常工作,能有效运行其安全功能和自身安全功能。 |
|
解读 |
数据库防火墙产品基本级和增强级都要求产品可支持部署于IPv6网络环境下正常工作,并支持不同部署下运行其安全功能和自身安全功能。 |
|
应用解析:数据库防火墙产品部署支持IPv6环境是顺应下一代互联网的必然要求,目前,教育、能源、工业、金融、车联网等行业已率先推进IPv6协议栈的布局。在这一趋势下,数据库防火墙产品应注意保障从IPv4网络环境切换至IPv6网络环境中正常运行,及其功能的全面应用,可识别IPv6数据流、配置IPv6地址和IPv6相关策略等。
|
安全技术要求 |
数据库防火墙基本级 |
数据库防火墙增强级 |
|
协议一致性 |
6.1.1.5.2 有则适用 协议一致性:若产品支持IPv6应满足IPv6协议一致性的要求,至少包括IPv6核心协议、IPv6 NDP协议、IPv6 Autoconfig协议和IPv6协议。 |
6.1.1.5.2 有则适用 协议一致性:若产品支持IPv6应满足IPv6协议一致性的要求,至少包括IPv6核心协议、IPv6 NDP协议、IPv6 Autoconfig协议和IPv6协议。 |
|
解读 |
数据库防火墙产品基本级和增强级都要求产品支持IPv6应满足IPv6协议一致性的要求,包括 IPv6核心协议、IPv6 NDP协议、IPv6 Autoconfig协议和IPv6协议的一致性。 |
|
应用解析:数据库防火墙产品支持IPv6协议应符合IETF RFC相关标准,具有良好的一致性、互通性和兼容性,保障网络数据和信息内容传输的有效性和完整性。产品宜通过国家/国际权威机构检测验证,取得IPv6 Ready Logo认证证书和测试报告进行相关证明。
|
安全技术要求 |
数据库防火墙基本级 |
数据库防火墙增强级 |
|
协议健壮性 |
6.1.1.5.3 有则适用 协议健壮性:若产品支持IPv6应满足IPv6协议健壮性的要求,抵御IPv6网络环境下畸形协议报文攻击。 |
6.1.1.5.3 有则适用 协议健壮性:若产品支持IPv6应满足IPv6协议健壮性的要求,抵御IPv6网络环境下畸形协议报文攻击。 |
|
解读 |
数据库防火墙产品基本级和增强级都要求产品支持IPv6应满足IPv6协议健壮性的要求,抵御IPv6网络环境下畸形协议报文攻击。 |
|
应用解析:数据库防护墙产品应保证在IPv6网络环境下自身的安全性,适应IPv6网络环境下面临的安全风险,能够启用自身防御机制,抵御IPv6网络环境下的畸形协议报文攻击等。
|
安全技术要求 |
数据库防火墙基本级 |
数据库防火墙增强级 |
|
支持IPv6过渡网络环境 |
6.1.1.5.4 有则适用 支持IPv6过渡网络环境:若产品支持IPv6应支持在以下一种或多种IPv6过渡网络环境下工作:a)协议转换,将IPv4和IPv6两种协议相互转换;b)隧道,将IPv6封装在IPv4中穿越IPv4网络,如IPv6 over IPv4、IPv6 to IPv4、ISATAP等。 |
6.1.1.5.4 有则适用 支持IPv6过渡网络环境:若产品支持IPv6应支持在以下一种或多种IPv6过渡网络环境下工作:a)协议转换,将IPv4和IPv6两种协议相互转换;b)隧道,将IPv6封装在IPv4中穿越IPv4网络,如IPv6 over IPv4、IPv6 to IPv4、ISATAP等。 |
|
解读 |
数据库防火墙产品基本级和增强级都要求支持IPv6过渡网络环境的要求 |
|
应用解析:数据库防火墙产品应支持IPv6过渡网络环境,支持IPv6网络环境部署覆盖IPv4网络环境的安全管控,以及IPv4网络环境下切换到IPv6网络环境等,但不会对业务造成影响。
网络层控制
|
安全技术要求 |
数据库防火墙基本级 |
数据库防火墙增强级 |
|
访问控制-包过滤 |
—— |
6.1.2.1.1 b)~c) b)安全策略应包含基于源IP地址、目的IP地址的访问控制; c)安全策略应包含基于源端口、目的端口的访问控制 |
|
解读 |
数据库防火墙产品基本级对访问控制-包过滤没有要求;增强级要求产品应支持包括但不限于基于网络4元组,即源IP地址、源端口以及目的IP地址、目的端口等因子配置访问控制安全策略。 |
|
应用解析:数据库防火墙应支持基于网络4元组(源IP地址、源端口、目的IP地址、目的端口)、5元组(源IP地址、目的IP地址、协议号、源端口、目的端口)、甚至7元组(源IP地址、目的IP地址、协议号、源端口、目的端口、服务类型、接口索引)等配置访问控制策略,以达到通过多因子组合的方式验证访问来源的合法性,将非法访问或无法清晰识别的访问来源进行有效过滤,以达到包过滤的目的。
应用层控制
3.1 应用类型控制
|
安全技术要求 |
数据库防火墙基本级 |
数据库防火墙增强级 |
|
应用类型控制 |
6.1.3.2 b) 数据库协议 |
6.1.3.2 b) 数据库协议 |
|
解读 |
数据库防火墙产品基本级和增强级都要求支持对数据库协议进行解析 |
|
应用解析:数据库防火墙产品的核心技术在于对数据库通讯协议的深度解析并提供安全防护,数据库通讯协议解析的精准性,直接关系到数据库防火墙的安全防护能力水平,同时,数据库防火墙应支持对国内外主流数据库、关系型和非关系型数据库、大数据平台等数据库类型的数据库通讯协议进行解析。
3.2 应用内容控制
|
安全技术要求 |
数据库防火墙基本级 |
数据库防火墙增强级 |
|
数据库应用 |
6.1.3.3.2 a)~c) 产品应支持基于以下内容对数据库的访问进行控制,包括但不限于:a)访问数据库的应用程序、运维工具;b)数据库用户名、数据库名、数据表名和数据字段名;c)SQL语句关键字、数据库返回内容关键字。 |
6.1.3.3.2 产品应支持基于以下内容对数据库的访问进行控制,包括但不限于:a)访问数据库的应用程序、运维工具;b)数据库用户名、数据库名、数据表名和数据字段名;c)SQL语句关键字、数据库返回内容关键字;d)影响行数、返回行数。 |
|
解读 |
数据库防火墙产品基本级和增强级都要求支持基本的访问控制功能 |
|
应用解析:数据库防火墙产品应支持基础的访问控制功能,可基于应用程序名、数据库运维工具名称及其MD5值与多因子组合的方式判断是否为非法访问用户或假冒应用,针对非法用户和假冒应用及时提供阻断能力,同时针对合法用户的访问,应对敏感表格或敏感字段根据用户身份及其不同的权限级别进行脱敏处理,并支持对用户的全程访问进行监控和记录,以达到基本的访问控制能力。
攻击防护
4.1 数据库攻击防护
|
安全技术要求 |
数据库防火墙基本级 |
数据库防火墙增强级 |
|
数据库攻击防护 |
6.1.4.3 a)~b) 产品具备特征库,应支持数据库攻击防护功能,包括但不限于:a)数据库漏洞攻击防护;b)异常SQL语句阻断; |
6.1.4.3 产品具备特征库,应支持数据库攻击防护功能,包括但不限于:a)数据库漏洞攻击防护;b)异常SQL语句阻断;c)数据库拖库攻击防护;d)数据库撞库攻击防护。 |
|
解读 |
数据库防火墙产品基本级要求产品应支持数据库攻击防护能力,包括但不限于数据库漏洞攻击防护和异常SQL语句阻断等能力 |
数据库防火墙产品基本级要求产品应支持数据库攻击防护能力,包括但不限于数据库漏洞攻击防护、异常SQL语句阻断、数据库拖库攻击防护、数据库撞库攻击防护等能力 |
应用解析:数据库防火墙的核心目标在于抵御和消除由于应用程序业务逻辑漏洞或外来攻击所导致的数据(库)安全问题,产品应支持数据库漏洞攻击防护、SQL注入攻击防护、数据库拖库攻击防护、数据库撞库攻击防护、高危异常SQL操作拦截等多种数据库攻击防护,并能够提供数据库漏洞补丁修复的能力,全方位形成数据库的安全保护屏障,免遭一切来自外部的攻击。
4.2 外部系统协同防护
|
安全技术要求 |
数据库防火墙基本级 |
数据库防火墙增强级 |
|
外部系统协同防护 |
—— |
6.1.4.8 产品应提供联动接口,能通过接口与其他网络安全产品进行联动,如执行其他网络安全产品下发的安全策略等。 |
|
解读 |
数据库防火墙产品基本级对基本的安全防护能力有所要求 |
数据库防火墙产品增强级要求产品支持提供标准API接口对接的能力,能通过API接口与其他网络安全产品进行联动,如执行其他网络安全产品下发的安全策略等 |
应用解析:单个产品的防护场景和防护能力有限,因此需联动其他产品提高协同作战的能力,实现对数据库资产的纵深防御。数据库防火墙产品应提供标准化API接口的能力,支持与三方统一监管平台或其他安全产品进行对接,实现安全设备的集中管控与联动,资产策略的统一下发、风险事件的综合分析。
安全审计与分析
5.1 安全审计
|
安全技术要求 |
数据库防火墙基本级 |
数据库防火墙增强级 |
|
安全审计 |
6.1.5.1 安全审计:产品应支持安全审计功能,包括但不限于: a)记录事件类型: 1)被产品安全策略匹配的访问请求;2)检测到的攻击行为。 b)日志内容: 1)事件发生的日期和时间;
2)事件发生的主体、客体和描述,其中数据包日志包括协议类型、源地址、目标地址、源端口和目标端口等; 3)攻击事件的描述。 c)日志管理: 1)仅允许授权管理员访间日志,并提供日志查阅、导出等功能; 2)能对审计事件按日期、时间、主体、客体等条件查询; 3)日志存储于掉电非易失性存储介质中; 4)日志存储周期设定不小于六个月; 5)存储空间达到阈值时,能通知授权管理员,并确保审计功能的正常运行; 6)日志支持自动化备份至其他存储设备。 |
6.1.5.1 安全审计:产品应支持安全审计功能,包括但不限于: a)记录事件类型: 1)被产品安全策略匹配的访问请求;2)检测到的攻击行为。 b)日志内容: 1)事件发生的日期和时间; 2)事件发生的主体、客体和描述,其中数据包日志包括协议类型、源地址、目标地址、源端口和目标端口等; 3)攻击事件的描述。 c)日志管理: 1)仅允许授权管理员访间日志,并提供日志查阅、导出等功能; 2)能对审计事件按日期、时间、主体、客体等条件查询; 3)日志存储于掉电非易失性存储介质中; 4)日志存储周期设定不小于六个月; 5)存储空间达到阈值时,能通知授权管理员,并确保审计功能的正常运行; 6)日志支持自动化备份至其他存储设备。 |
|
解读 |
数据库防火墙产品基本级和增强级对安全事件的全面审计和精确审计都有要求,同时对于日志管理规范均有要求。 |
|
应用解析:数据库防火墙应支持安全审计的能力,审计事件包括对登录事件和访问事件的全面审计与精确审计,审计内容包括数据库访问行为、数据库攻击事件等。审计日志应精确记录到人、保护对象、事件发生时间、事件发生的主体、具体的事件内容等五大维度,不同维度下可细分更多的因子,目的在于发生安全事故后可精准定位和追溯到事故的源头,进一步分析事故发生的原因,从而有针对性的做出安全防御策略的调整。审计日志的管理也应保障其安全性,采取对审计日志进行加密等措施,防止审计日志被恶意篡改、删除等,同时审计日志的存储管理周期也应有所规范,避免审计日至过载占用存储空间。
5.2 安全告警
|
安全技术要求 |
数据库防火墙基本级 |
数据库防火墙增强级 |
|
安全告警 |
6.1.5.2 产品应支持对攻击行为进行告诫,并能对高频发生的相同告警事件进行合并告警,避免出现告警风暴。告警信息至少包含以下内容:a)事件主体;b)事件客体;c)事件描述;d)危害级别;e)事件发生的日期和时间。 |
6.1.5.2 产品应支持对攻击行为进行告诫,并能对高频发生的相同告警事件进行合并告警,避免出现告警风暴。告警信息至少包含以下内容:a)事件主体;b)事件客体;c)事件描述;d)危害级别;e)事件发生的日期和时间。 |
|
解读 |
数据库防火墙产品基本级和增强级都要求支持对攻击行为进行告警,并能对高频发生的相同告警事件进行合并告警,避免出现告警风暴。 |
|
应用解析:数据库防火墙产品应支持安全事件告警功能,支持内置或自定义告警规则,对正在发生或潜在发生的安全事件智能发出告警,并在告警发出后及时做出响应行为,避免进一步带来安全损失,同时,配置告警规则应合理有度,界定合理的风险等级,针对不同级别的告警事件采取界面展示、邮件订阅、短信订阅等措施,同类型事件合并告警,避免告警泛滥。
5.3 统计分析
|
安全技术要求 |
数据库防火墙基本级 |
数据库防火墙增强级 |
|
应用流量统计 |
6.1.5.3.2 a)~b) 产品应支持以图形化界面展示=应用流量情况,包括但不限于:a)按照IP、时间段和应用类型等条件或以上条件组合对应用流量进行统计;b)以报表形式输出统计结果; |
6.1.5.3.2 产品应支持以图形化界面展示应用流量情况,包括但不限于:a)按照IP、时间段和应用类型等条件或以上条件组合对应用流量进行统计;b)以报表形式输出统计结果;c)对不同时间段的统计结果进行比对。 |
|
解读 |
数据库防火墙产品基本级和增强级都要求支持应用流量统计功能,通过图形化界面展示应用流量情况。 |
|
应用解析:数据库防火墙产品应支持流量的监测统计,可按日/月/周等时间周期统计流量收发情况,并通过图形化页面进行直观展示,可根据页面展示和报表统计结果发现正常的业务访问规律和异常的访问现象,如业务访问高峰普遍为固定时段,该时段表现为流量激增,异常访问往往出现在某一非固定时段,相较以往正常的访问规律,突然出现不寻常的流量小高峰等,可初步判断为异常访问,需及时进行异常访问流量的排查。
|
安全技术要求 |
数据库防火墙基本级 |
数据库防火墙增强级 |
|
攻击事件统计 |
6.1.5.3.3 产品应支持以图形化界面展示共计事件情况,包括但不限于:a)按照攻击事件类型、IP和时间段等条件或以上条件组合对攻击事件进行统计;b)以报表形式输出统计结果。 |
6.1.5.3.3 产品应支持以图形化界面展示共计事件情况,包括但不限于:a)按照攻击事件类型、IP和时间段等条件或以上条件组合对攻击事件进行统计;b)以报表形式输出统计结果。 |
|
解读 |
数据库防火墙产品基本级和增强级都要求支持攻击事件的统计,并以图形化界面清晰展示攻击事件类型及事件类型数目等,并支持以报表的形式进行统计结果的输出。 |
|
应用解析:数据库防火墙产品应支持攻击事件统计,统计结果需以图形化界面的形式进行直观反映,用户可对当下面临的数据库风险具有高度感知,同时,攻击事件统计结果支持报表的形式进行导出,提供汇报等。
数据库防火墙性能要求
一、最大连接速率
|
性能要求 |
数据库防火墙基本级 |
数据库防火墙增强级 |
|
SQL请求速率 |
6.3.3.3 SQL请求速率 硬件产品的SQL请求速率视不同速率的产品有所不同,具体指标要求如下: a)百兆产品的SQL请求速率应不小于2 000个/s; b)千兆产品的SQL请求速率应不小10000个/s; c)万兆产品的 SQL请求速率应不小于50000个/s。 |
6.3.3.3 SQL请求速率 硬件产品的SQL请求速率视不同速率的产品有所不同,具体指标要求如下: a)百兆产品的SQL请求速率应不小于2 000个/s; b)千兆产品的SQL请求速率应不小10000个/s; c)万兆产品的 SQL请求速率应不小于50000个/s。 |
|
解读 |
数据库防火墙产品基本级和增强级都对不同型号的SQL请求速率有明确的标准,产品对应型号的SQL请求速率不得低于标准中的要求。 |
|
应用解析:SQL请求速率是衡量数据库防火墙产品性能的重要指标之一,大流量用户场景下,如若数据库执行操作超过产品最大可承载的SQL请求速率,则可能会导致产品瘫痪,造成业务中断,因此数据库防火墙产品SQL请求速率不应低于基线标准。
二、最大并发速率
|
性能要求 |
数据库防火墙基本级 |
数据库防火墙增强级 |
|
SQL并发连接数 |
6.3.4.3 SQL并发连接数 硬件产品的SQL并发连接数视不同速率的产品有所不同,具体指标要求如下: a)百兆产品的SQL并发连接数应不小于800个; 6)千兆产品的SQL并发连接数应不小于2000个; c)万兆产品的SQL并发连接数成不小于4000个 |
6.3.4.3 SQL并发连接数 硬件产品的SQL并发连接数视不同速率的产品有所不同,具体指标要求如下: a)百兆产品的SQL并发连接数应不小于800个; 6)千兆产品的SQL并发连接数应不小于2000个; c)万兆产品的SQL并发连接数成不小于4000个 |
|
解读 |
数据库防火墙产品基本级和增强级都对不同型号的SQL并发连接数有明确的标准,产品对应型号的SQL并发连接数不得低于标准中的要求。 |
|
应用解析:数据库防火墙产品需处理大量的业务流量,因此对产品自身的性能有较高要求,SQL并发连接数是衡量数据库防火墙性能的重要指标之一,产品性能过低则无法承载高并发访问,可能导致设备瘫痪,造成业务中断。因此数据库防火墙产品SQL并发连接数不应低于基线标准。
(本文作者:杭州美创科技有限公司 代建梅 王泽)
|
CCIA数据安全工作委员会单位介绍
|
| 杭州美创科技有限公司成立于2005年,美创科技是国内最早的数据安全厂商之一,也是国内率先将零信任理念应用于数据安全领域的代表厂商,长期沉淀与技术创新,美创科技已拥有业内领先的全栈数据安全能力配置和敏捷数据安全治理服务,并持续打造领导力优势,逐步形成以资产、入侵、风险三个视角为核心、以零信任、入侵生命周期、风险治理为基础的数据安全体系架构。 |
原文始发于微信公众号(CCIA数据安全工作委员会):标准应用 | 数据库防火墙安全技术解析与实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论