自2015年8月至9月，數(shù)據(jù)庫安全專業(yè)提供商安華金和與第三方社區(qū)合作，共同面向廣大IT從業(yè)人員進行數(shù)據(jù)庫防火墻市場認知度調研，期望真實獲取來自用戶的反饋，把握客戶需求和體驗，從而進行數(shù)據(jù)庫防火墻產品的研發(fā)與改進。通過對400個有效樣本進行分析，總結歸納《數(shù)據(jù)庫防火墻技術市場調研報告》分享大家。

本次調研群體分布于全國各地，有意思的是，對于安全漏洞高發(fā)地區(qū)排名前三位的北京、上海、廣東，本次調查反饋用戶數(shù)量排名前三位的也對應到這三個地區(qū)。而在行業(yè)分布上，比較廣泛。參與調研用戶的角色，主要是網(wǎng)管/運維/系統(tǒng)管理員，軟件工程師/程序員，DBA/數(shù)據(jù)庫管理與開發(fā)人員。

根據(jù)調查結果顯示， 400個有效樣本反饋用戶對數(shù)據(jù)庫防火墻一經(jīng)有一定認知，同時認為數(shù)據(jù)庫防火墻應該是應用防火墻的有效補充，對數(shù)據(jù)庫防火墻的作用還是給予肯定的。以下分別從不同維度展開說明：

75%以上的調研對象對數(shù)據(jù)庫防火墻有認知

數(shù)據(jù)顯示，75%以上調研人群表示對數(shù)據(jù)庫防火墻偶爾知道，而真正使用過的僅為10%

圖 1.1 調研對象對數(shù)據(jù)庫防火墻的認知

國產數(shù)據(jù)庫防火墻品牌認知度低于國際品牌

在現(xiàn)有Oracle、McAfee、Imperva及安華金和等國內外數(shù)據(jù)庫防火墻品牌選項中，58%調查對象更熟悉Oracle，安華金和僅次于McAfee排名第三位，占比14%。這個數(shù)據(jù)顯示，國產化的產品應用任重而道遠。

圖 1.2 數(shù)據(jù)庫防火墻品牌調研結果

用戶對十大數(shù)據(jù)庫防火墻價值認知

從數(shù)據(jù)庫防火墻產品的價值體現(xiàn)中，用戶認知度最高的還是防SQL注入、獨立于數(shù)據(jù)庫提供細粒度的訪問控制、針對數(shù)據(jù)庫漏洞行為進行主動攔截和阻斷。

圖 1.3 數(shù)據(jù)庫防火墻功能認知排序

用戶對數(shù)據(jù)庫防火墻部署的選擇

對于數(shù)據(jù)庫防火墻部署在應用側、運維側還是數(shù)據(jù)庫前段，用戶有不同的理解。61%的用戶認為應該部署在應用側，防止外部黑客的數(shù)據(jù)庫入侵行為;23%用戶則認為數(shù)據(jù)庫防火墻應該部署在數(shù)據(jù)庫的前端，對所有的數(shù)據(jù)庫訪問行為進行控制;16%的用戶認為產品應該部署在維護側，對內外部運維人員的數(shù)據(jù)庫操作進行細粒度控制。

數(shù)據(jù)庫防火墻部署在不同的位置，防護的重點有所不同，如果部署在數(shù)據(jù)庫前端，既能實現(xiàn)來自外部人員的攻擊，又能防止內部人員的誤操作。如果數(shù)據(jù)庫防火墻部署在運維側，主要對內部人員誤操作、批量刪除或是批量下載數(shù)據(jù)進行防護。如果數(shù)據(jù)庫防火墻部署在應用側，防御重點在于基于數(shù)據(jù)庫協(xié)議，針對SQL語法/詞法進行精確協(xié)議解析，從而防止外部對數(shù)據(jù)庫漏洞的攻擊和SQL注入。

如果防火墻部署在應用側，用戶對旁路、網(wǎng)關、代理、網(wǎng)橋這四類部署模式的態(tài)度也不同。其中旁路部署占比52%，從一定程度上反映出，串聯(lián)部署防火墻，用戶還是有所顧慮。

圖 1.4 數(shù)據(jù)庫防火墻應用側部署模式調研結果

70%用戶希望數(shù)據(jù)庫防火墻提供對數(shù)據(jù)庫主動防御的同時，對數(shù)據(jù)庫性能的影響降至最低

通過調研，我們試著探尋用戶采購數(shù)據(jù)庫防火墻時的需求，以期對數(shù)據(jù)庫防火墻的賣點進行匯總排序。結果顯示，70%被調查對象希望通過采購數(shù)據(jù)庫防火墻，進行強大而周密的策略防護方案，通過設置多種策略關聯(lián)對數(shù)據(jù)庫實現(xiàn)周密的防護。同時，高防護的過程中要求對數(shù)據(jù)庫性能影響降到最低。依次排在次要位置的需求分別是：(1)希望采購數(shù)據(jù)庫防火墻提供精準的數(shù)據(jù)庫防護能力，避免錯誤攔截和攻擊漏洞;(2)最新最全面的虛擬補丁功能，防護因數(shù)據(jù)庫漏洞和sql注入導致的數(shù)據(jù)庫惡意攻擊;(3)彌補市場上極光掃描器等設備對安全漏洞報告的缺失。

在數(shù)據(jù)庫防火墻的擴展性上，加密通訊需求占60%

在數(shù)據(jù)庫防火墻的擴展性上，60%用戶普遍認為，數(shù)據(jù)庫防火墻可以考慮提供SSL這樣的加密通道，以保持客戶端與數(shù)據(jù)庫的加密通訊;其次，23%用戶認為數(shù)據(jù)庫防火墻應當考慮對通過SSH、Telnet進行的遠程運維中的SQL操作也進行安全控制和審計;17%用戶認為數(shù)據(jù)庫防火墻可以考慮融入一些傳統(tǒng)防火墻的功能，比如IP和端口控制。

客戶通常會將數(shù)據(jù)庫防火墻與現(xiàn)有市場上其他安全產品比如WAF、堡壘機、網(wǎng)閘、網(wǎng)絡防火墻等進行比較。用戶對比后的理解和看法如下：

1、數(shù)據(jù)庫防火墻與WAF對比

數(shù)據(jù)庫防火墻與WAF之間的差異性，是用戶經(jīng)常會問到的一個問題。 59%的用戶對此有明確認知，WAF主要防御對web應用系統(tǒng)的攻擊，但黑客具備繞過WAF攻擊數(shù)據(jù)庫服務器的能力，通過數(shù)據(jù)庫防火墻可以增加安全防線，能夠準確的找到兩個產品的側重點。只有7%的用戶認為應用端只需部署WAF，即可防止住惡意的攻擊。

2、數(shù)據(jù)庫防火墻與堡壘機對比

該問題，從用戶的反饋結果來看，答案的階梯性很明顯，66%的用戶認為堡壘機無法代替數(shù)據(jù)庫防火墻，壘機對于數(shù)據(jù)庫操作無法進行細粒度控制，無法根據(jù)影響行數(shù)或操作的危害特征進行運維側管控;而防火墻可以滿足以上特性。仍有10%用戶認為運維側部署堡壘機已經(jīng)足夠，即可防止住運維側的數(shù)據(jù)泄露或篡改工作。

3、數(shù)據(jù)庫防火墻與網(wǎng)閘對比

大部分用戶對數(shù)據(jù)庫防火墻與網(wǎng)閘的功能比較清晰， 90%以上的用戶能夠明確區(qū)別兩者的作用，認同外網(wǎng)部署應用服務器，內網(wǎng)部署數(shù)據(jù)庫，在內外網(wǎng)之間部署數(shù)據(jù)庫防火墻;數(shù)據(jù)庫防火墻屏蔽掉其他通訊協(xié)議，保證數(shù)據(jù)庫通訊協(xié)議的安全性;通過這種方式既可以起到內外網(wǎng)的隔離，又能達到實施成本和工程復雜度的降低。現(xiàn)實應用中，網(wǎng)閘是可以讓數(shù)據(jù)庫協(xié)議穿透的，但網(wǎng)閘無對數(shù)據(jù)庫漏洞攻擊的防御能力;通過數(shù)據(jù)庫防火墻可以提升防御能力。僅有9%用戶認為通過網(wǎng)閘完全實現(xiàn)了內外網(wǎng)或不同密級網(wǎng)之間的隔離，不需要數(shù)據(jù)庫防火墻。

4、數(shù)據(jù)庫防火墻與網(wǎng)絡防火墻對比

數(shù)據(jù)結果顯示，目前市場上單一認為只需要數(shù)據(jù)庫防火墻或網(wǎng)絡防火墻的認知已經(jīng)逐步被趨勢所替代，94%的用戶已經(jīng)清晰認識到網(wǎng)絡防火墻是TCP/IP層的防火墻，數(shù)據(jù)庫防火墻是應用層防火墻;相互補充，不可互為替代;由于數(shù)據(jù)庫通訊協(xié)議的復雜性，下一代防火墻無法防止隱藏在合法協(xié)議中的數(shù)據(jù)庫攻擊，仍然需要數(shù)據(jù)庫防火墻來保障數(shù)據(jù)庫安全。