作者：eygle 发布在 eygle.com

Oracle公司在2010年收购了数据库安全公司Secerno，并在其产品基础之上推出了Oracle Database Firewall 产品，致力于防范数据库的非法访问和注入攻击等安全问题，为数据库增加了一款全面的安全防范产品。

    今天(2011-11-17)在Oracle公司和Oracle公司产品经理Min-Hank Ho 先生座谈，获知了很多Oracle公司关于安全产品的战略。

    在美国Oracle公司研发中心，安全产品团队大约有80多名工程师进行安全产品的开发，包括Oracle Database Vault,Oracle Audit Vault,TDE,DFW等产品，而且在其产品序列中，在美国收益最高的是TDE组件，而在中国，情况完全不同。

    在未来，Oracle的Audit Vault产品回同DFW进行融合。

    这一方面是因为中国客户对的数据库产品的安全性重视不够，一方面和中国IT市场的发展程度有关。当然，慢慢的，随着安全问题的暴露，越来越多的企业开始重视数据库安全问题。我们也一直在安全方面为用户提供持续的解决方案。

    

    以下是关于数据库防火墙产品的一点简要介绍：

    为帮助企业防止数据库遭受复杂的内外攻击，甲骨文今日推出Oracle数据库防火墙(Oracle Database Firewall)。Oracle数据库防火墙围绕数据库建立了一个外围防御圈，实时监控应用的各种活动，允许正常的应用活动，同时帮助防止SQL注入式攻击以及对敏感信息的无授权访问。

    　　Oracle数据库防火墙采用了创新性SQL语法分析技术，检查发往数据库的SQL语句，并根据预先制定的政策决定是否让某SQL语句通过以及是否记录、禁止或取代某SQL语句，这种决定的正确率非常高。预先制定的政策包括：

    　　* 白名单政策，即遇到该名单认可的SQL语句时，防火墙就将其看作正常语句，让其通过，而其余语句则禁止通过；

    　　* 黑名单政策，即专门禁止该名单未授权的SQL语句通过；

    　　* 例外政策，即可以灵活地让适用的安全政策无效，以支持软件修补、定制的成批作业和/或"打碎玻璃"型管理控制；

    　　* 运用各种属性的政策，如一天中的时间、IP地址、应用、用户和SQL类等属性。

    　　Oracle数据库防火墙简单、易部署，不需要对现有应用、数据库基础设施或目标数据库的现用操作系统进行任何调整。

    　　Oracle数据库防火墙可在网络上在线部署，既可采用禁止与监控模式，也可采用仅监控的系统外模式。

    　　Oracle数据库防火墙是一个全面的软件解决方案，可在基于英特尔处理器的硬件上运行，并能轻松进行扩展，以支持大量数据库服务器。

    　　Oracle数据库防火墙配备了很多预置和可定制的报告，有助于企业满足各种隐私和管制法令要求，如支付卡行业(PCI)数据安全标准(DSS)、美国萨班法案(SOX)和美国HIPAA法案。

    　　Oracle数据库防火墙于近日上市，可与以下数据库配合使用：

    　　・ Oracle数据库11g及之前的版本；

    　　・ 面向Linux、UNIX和Windows(版本9.x)的IBM DB2；

    　　・ Microsoft SQL Server 2000、2005和2008；

    　　・ Sybase Adaptive Server Enterprise(ASE)(版本12.5.4至15)；

    　　・ Sybase SQL Anywhere V10。

    　　Oracle数据库防火墙是Oracle全面的数据库安全解决方案系列的产品之一，能够对Oracle Advanced Security、Oracle Audit Vault和Oracle Database Vault起到补充作用。甲骨文承诺为客户提供最全面、最先进的安全产品，以帮助客户降低保护整个企业信息安全的复杂性和成本。这些安全产品是甲骨文兑现承诺的坚强后盾。

    　　甲骨文公司数据库安全副总裁Vipin Samar表示："对数据库的安全威胁在不断演变，企业需要考虑新的安全解决方面以满足这种需求。Oracle数据库防火墙为企业提供了第一道防线，可以防止数据库遭受内部和外部攻击。Oracle数据库防火墙易于部署和管理，有助于降低保护整个企业数据安全的成本和复杂性，而且它无需对现有应用和数据库进行任何调整。"

    延伸阅读：

    数据安全 - 从陕西手机用户信息泄露谈数据安全

建议继续学习：

1. 由于 HTTP request 不规范导致的被防火墙拦截    (阅读：2593)
2. linux 简单架设防火墙路由器    (阅读：2412)
3. 为Linux(CentOS)防火墙添加端口    (阅读：2304)
4. 防火墙、DCD与TCP Keep alive    (阅读：2258)
5. 防火墙的目标地址转换和源地址转换    (阅读：1723)
6. 5代防火墙    (阅读：1660)
7. XSS 前端防火墙 —— 可疑模块拦截    (阅读：1226)