目前世界上主流的(de)關系型數據庫，諸如(rú)Oracle、Sybase、Microsoft SQL Server、IBM DB2/Informix等數據庫數據庫都具有(yǒu)以下特征：用戶帳号及密碼、校驗系統、優先級模型和(hé)控制數據庫的(de)特别許可(kě)、內(nèi)置命令（存儲過程、觸發器等）、唯一(yī)的(de)腳本和(hé)編程語言（例如(rú)PL/SQL、Transaction-SQL、OEMC等）、中間件、網絡協議、強有(yǒu)力的(de)數據庫管理(lǐ)實用程序和(hé)開發工具。 數據庫領域的(de)安全措施通常包括：身份識别和(hé)身份驗證、自(zì)主訪問控制和(hé)強制訪問控制、安全傳輸、系統審計、數據庫存儲加密等。隻有(yǒu)通過綜合有(yǒu)關安全的(de)各個環節，才能确保高(gāo)度安全的(de)系統。

帕拉迪下一(yī)代數據庫應用安全防禦系統（簡稱NGDAP）是杭州帕拉迪網絡科(kē)技有(yǒu)限公司自(zì)行(xíng)研制開發的(de)新一(yī)代數據防護系統。NGDAP通過對訪問數據庫的(de)數據流進行(xíng)采集、分析和(hé)識别。實時監視(shì)數據庫的(de)運行(xíng)狀态，記錄多種訪問數據庫行(xíng)為(wèi)，發現對數據庫的(de)異常訪問，并進行(xíng)及時的(de)阻斷。

網絡防火牆

數據庫網絡防火牆主要基于網絡行(xíng)為(wèi)的(de)控制，基于TCP五元組來實現，根據五元組內(nèi)的(de)源地(dì)址，目标地(dì)址，源端口，目标端口，傳輸層協議進行(xíng)策略控制。

準入防火牆

通過白名單自(zì)學(xué)習進行(xíng)訪問準入規則的(de)固化（自(zì)動學(xué)習到數據庫訪問行(xíng)為(wèi)的(de)五元素—訪問源地(dì)址異常，訪問源主機(jī)名稱異常，訪問源用戶名稱異常，訪問工具名稱異常，登錄帳号名稱異常，固化安全規則），未被匹配到的(de)數據庫接入行(xíng)為(wèi)都會進行(xíng)實時的(de)預警和(hé)阻斷會話，在不影響性能和(hé)修改數據庫的(de)情況下，通過持續跟蹤所有(yǒu)數據庫操作來識别未授權的(de)活動或可(kě)疑的(de)活動，并及時阻斷，避免數據庫遭受網絡攻擊，從根本上解決數據庫惡意訪問威脅。

行(xíng)為(wèi)防火牆

可(kě)以精準的(de)追蹤到用戶的(de)SQL語句命令，可(kě)以對來源、目标庫、目标表和(hé)指定行(xíng)為(wèi)進行(xíng)控制，防止高(gāo)危違規操作和(hé)誤操作。

業務防火牆

學(xué)習階段，它會記錄分析并統計所有(yǒu)的(de)應用程序發來的(de)查詢請求，将其自(zì)動添加到白名單中來，用戶可(kě)以确認并調整白名單的(de)內(nèi)容。切換到主動防禦模式後，數據庫防火牆首先會對發來的(de)請求數據進行(xíng)标準化處理(lǐ)，然後将處理(lǐ)後的(de)數據送往模式匹配引擎中，跟白名單中的(de)數據進行(xíng)比較，如(rú)果匹配到相關規則，則認為(wèi)是合法請求，該數據會被傳遞到真實的(de)數據庫中進行(xíng)查詢，并最後返回給應用程序；如(rú)果不匹配相關規則，則做(zuò)出告警或者阻斷響應，徹底解決SQL注入、APT等攻擊。

部署方式