金仓数据库 SQL 防火墙:精准拦截 SQL 注入攻击
在数字化转型中,数据已成为企业的核心资产。然而,SQL 注入攻击时刻威胁着数据库的安全。即使开发团队严守预编译、输入过滤等防线,遗留代码、第三方组件的漏洞或人为疏忽仍可能给攻击者可乘之机。
金仓数据库(KingbaseES)V009R002C014 版本内置的 SQL 防火墙,提供了一种更主动的防御方案——从数据库内核层构建防护,让恶意 SQL 无处遁形。
SQL 注入原理
SQL 注入的原理并不复杂,却极其致命:攻击者将恶意代码伪装成正常输入,欺骗数据库执行非预期操作。
例如,一个登录表单中,用户在用户名栏输入 ' OR '1'='1,后台的查询语句可能就变成了:
SELECT * FROM users WHERE OR '1'='1' AND password='xxx'
由于 '1'='1' 恒为真,攻击者无需密码即可绕过认证,获取所有用户信息。
更严重的情况:DROP TABLE users;--,附加在输入后,如果应用层没有做好过滤,整张表可能瞬间被删除。
传统防御手段(如预编译)固然有效,但完全依赖开发人员的编码习惯。而金仓数据库 SQL 防火墙,直接在数据库内核层'设卡查验',无论应用层是否有疏忽,所有 SQL 语句都必须经过它的校验才能放行。
三种工作模式
其核心理念是建立合法 SQL 白名单,系统只允许白名单内的 SQL 正常执行,任何不在白名单的语句都会被警告或拦截。
金仓 SQL 防火墙设计了三种工作模式,可以灵活配置:
- 学习模式:管理员指定需要监控的用户后,系统自动观察并学习这些用户执行的所有 SQL,将它们记录为合法规则。无需手动编写复杂的规则。
- 警告模式:正式上线前开启。此时,所有 SQL 都会被执行,但若某条 SQL 不在白名单中,系统会发出警报并记录日志。安全管理员可以根据日志微调白名单。
- 报错模式:经过充分测试后开启。任何不在白名单的 SQL 都会被直接拦截并返回错误,同时写入日志。
性能与准确率
高准确率
SQL 防火墙全面检查所有数据库连接执行的 SQL 语句,且无法被绕过。它直接读取数据库内核解析 SQL 的结果来计算特征值,而非简单匹配字符串。这意味着,即使 DML 语句中的常量千变万化,特征值仍然稳定不变,不会误判。
实测数据如下:
| 指标 | 数值 |
|---|---|
| 非法 sql 总数 | 900 万 |
| 合法 sql 总数 | 100 万 |
| 被检出的非法 sql 数 | 900 万 |
| 被拦截的合法 sql 数 | 0 |
| 未被检出的非法 sql 数 | 0 |
准确率接近 100%。
低性能损耗
作为金仓数据库原生的内部插件,SQL 防火墙与数据库深度集成,无需额外开发,也不会导致性能大幅损耗。
在 100 个会话并发执行 500 条不同 SQL 场景下,测试数据库每秒的吞吐量,发现损耗在 6% 以下。
警告模式性能表现:
| 非法 SQL 占比 | 0% | 1% | 3% | 5% | 10% |
|---|---|---|---|---|---|
| 性能损耗 | -5.61% | -5.55% | -5.99% | -5.66% | -5.67% |
报错模式:
| 非法 SQL 占比 | 0% | 1% | 3% | 5% | 10% |
|---|---|---|---|---|---|
| 性能损耗 | -5.70% | -2.83% | -1.48% | 0.07% | 4.94% |
开启 SQL 防火墙后,业务几乎感受不到性能变化。
配置便捷性
管理员只需两步即可完成配置:
- 指定学习哪些用户的 SQL;
- 开启学习模式,让系统自动获取 SQL 规则。
整个过程无需手动编写规则,极大降低了运维门槛,也避免了人为错误导致的白名单遗漏。同时支持按用户级防护,更加灵活。
