有了防火墙、IPS、WAF 还需要数据库审计？

本文讲的是 有了防火墙、IPS、WAF 还需要数据库审计？，“我们的网络安全系统中已经有了Web应用防火墙、网络防火墙和IPS，难道还需要数据库审计吗？”很多人有这样的疑问，网络中有层层防护，还不能保护数据库的安全吗？是的，因为不同的安全防护系统针对的关键风险不同。

防火墙

网络防火墙（Firewall）是基于预定安全规则来监视和控制传入和传出网络流量的网络安全系统，正如小区中的岗亭，人员、车辆进出都需要经过岗亭的检查，计算机流入流出的所有网络通信均要经过网络防火墙。网络防火墙对流经它的网络通信信息进行扫描，避免一些攻击行为在目标计算机上被执行。

网络防火墙作为访问控制设备，主要工作在OSI模型三层，基于IP报文进行检测，通常根据IP、端口信息及协议类型做过滤。其产品设计无需理解HTTP会话，也就决定了无法理解Web应用程序语言如HTML、SQL语言。

因此，它不可能对HTTP通讯进行输入验证或攻击规则分析。针对Web网站的恶意攻击绝大部分都将封装为HTTP请求，从80或443端口顺利通过防火墙检测。

网络防火墙是基于边界防护，同时因为Web服务的开放性，网络防火墙对基于Web以及内部的攻击缺乏免疫。

入侵防御系统

入侵防御系统（以下简称“IPS”）也是为防止网络攻击而设计的。一般来说，IPS系统检测攻击的方法是依靠对数据包的检测。

IPS将检查入网的数据包，确定这种数据包的真正用途，然后决定是否允许这种数据包进入你的网络。这就像存放贵重物品的场所，如博物馆中，安装的红外感应防御装置，在红外线识别到有人入侵时能够及时做出防御。

IPS采用的是特征匹配技术、使用“允许除非明确否认”模式，其防护对象是一段网络、以及网络中通用的设备或系统而不是特定的Web应用。

IPS更多是针对攻击行为的识别与防御，而数据库数据泄露的风险常常是来自于内部人员，如合法权限的滥用或高级权限的违规使用。IPS无法对这类风险进行识别，也就无法对数据库的安全进行全面的防护。

Web应用防火墙

从对Firewall的介绍可以看出来，传统的防火墙对于应用层的攻击是无法进行有效抵抗的；而IPS对防止应用层攻击能起到一部分作用，却无法从根本上防护应用层的攻击。因此出现了保护Web应用安全的Web应用防火墙系统（以下简称“WAF”）。

WAF是一种基础的安全保护模块，通过特征提取和分块检索技术进行特征匹配，主要针对 HTTP 访问的 Web 程序保护。WAF部署在Web应用程序前面，在用户请求到达 Web 服务器前对用户请求进行扫描和过滤，分析并校验每个用户请求的网络包，确保每个用户请求有效且安全，对无效或有攻击行为的请求进行阻断或隔离。

WAF现在已经成为许多商业 Web 网站与系统的基本保护措施，它的确在防范许多针对Web系统的安全攻击方面卓有成效；但WAF只监控通过HTTP方式来的数据，而数据库的访问源头却多种多样，如以下几种数据库访问方式：

1、组织内其他应用系统能访问数据库：比如在电子商务系统里，价格和库存可能会用一些自动化的脚本来定时更新。

2、一些内部管理程序可以访问系统，也可能是一些接口，方便雇员添加信息或者发送信息给客户。

3、还有就是数据库 DBA，IT 经理，QA，开发人员等等内部人员通过数据库管理工具可以访问数据库。

这些潜在的数据库访问源头WAF是毫不知情的，但是来自内部的攻击则更可怕。

从网络防火墙到入侵防御系统再到Web应用防火墙，当我们给网络穿上一层又一层的防护衣时，不得不正视，网络攻击越来越深入。当数据的价值越来越高，数据库成为“攻击”目标时，网络防火墙、IPS、WAF的防护变得有些捉襟见肘。

数据库审计系统可对数据的访问操作行为做一个完整的记录，以备违反安全规则的事件发生后，能有效的追查责任和分析原因，必要时还可以为惩罚恶意攻击行为提供必要的证据。