数据库防火墙onefirewall,如何防范黑客物理删除?避免携程事件再次上演
首先解释一下数据库防火墙原理(白名单机制):就类似360手机卫士,事先定义通讯录,别人给你打电话时,只有在通讯录的电话可以接听,没有在通讯录的直接拒绝。
数据库通常是敏感信息的集中地,也是黑客攻击的最大目标之一,攻破数据库 后,可以用最快的方式获式获取大量有用的数据,这样的例子频有发生。可以利用中间件-OneProxy的白名单机制 ,此时 OneProxy 只会处理符合白名单要求的 SQL 语 句,而其他一切非法SQL(如drop 、delete等)则会被OneProxy拒绝掉而无法执行。
收集方法:
可以很方便地在线下环境或线上环境里收集 SQL 的白名单,让应用通过 OneProxy 来访问数据库,进行详细的功能测试,或在线上运行一段时间,OneProxy 会收集运行过的所有 SQL 语句,进行相应的处理,将字符串和数字替 换为“?”号。然后可以用“save sql”命令将这些 SQL 语句导出来,就得到合 法的 SQL 语句列表了。
测试:
如下图可以发现,合法的查询是可以执行的,而非法的drop、delete则被OneProxy禁止。
本文转自hcymysql51CTO博客,原文链接:http://blog.51cto.com/hcymysql/1664972 ,如需转载请自行联系原作者
