数据库防火墙部署方式有哪些？会影响数据库性能吗？

其部署方式分为串联部署与并联部署。

串联部署是数据库防火墙发挥最大作用的最常见的部署方式。实际上就是在应用系统与数据库之间增加一个“结点”， 若“结点”出现故障，那么势必会影响整个系统的性能。这就是串联部署的劣势，一旦出现故障，整个业务系统随之瘫痪，正常业务被阻断，数据面临丢失、损坏等风险，对数据库产生巨大的影响，往往很多厂商却避而不谈，不愿提及，但内行人一想便知。

其次，企业会采用大量的技术来保证数据库的高可用性、连续性，典型的有RAC、F5负载均衡、高可用网络等当在这样的一个环境中串联一个新的节点时，对该节点的可靠性、稳定性及性能要求甚至比数据库本身的要求还要高。在这样连续性、高可用的环境下，实施防护墙串联部署，势必是在为风险挖坑。尤其现阶段的数据库防火墙技术还不成熟，复杂的环境下更应该慎重选用。

1.透明模式

透明模式也可叫作桥模式。最简单的网络由客户端和服务器组成，客户端和服务器处于同一网段。为了安全方面的考虑，在客户端和服务器之间增加了防火墙设备，对经过的流量进行安全控制。

正常的客户端请求通过防火墙送达服务器，服务器将响应返回给客户端，用户不会感觉到中间设备的存在。工作在桥模式下的防火墙没有IP地址，当对网络进行扩容时无需对网络地址进行重新规划，但牺牲了路由、VPN等功能。

2.网关模式

网关模式适用于内外网不在同一网段的情况，防火墙设置网关地址实现路由器的功能，为不同网段进行路由转发。网关模式相比桥模式具备更高的安全性，在进行访问控制的同时实现了安全隔离，具备了一定的私密性。

3.NAT模式

NAT(Network Address Translation)地址翻译技术由防火墙对内部网络的IP地址进行地址翻译，使用防火墙的IP地址替换内部网络的源地址向外部网络发送数据当外部网络的响应数据流量返回到防火墙后，防火墙再将目的地址替换为内部网络的源地址。

NAT模式能够实现外部网络不能直接看到内部网络的IP地址，进一步增强了对内部网络的安全防护。同时，在NAT模式的网络中，内部网络可以使用私网地址，可以解决IP地址数量受限的问题。

当今社会，信息化、互联网技术高速发展，数据成为政府、金融、教育、医疗等各行业的核心资产，一旦数据被泄漏，会造成严重经济损失和不良的社会影响，因此数据库安全尤为重要。对于SQL注入攻击而言，已经有了Web防火墙，为何还需要数据库防火墙？两者之间的区别在哪？

什么是数据库防火墙？

数据库防火墙是一款抵御并消除由于应用程序业务逻辑漏洞或者缺陷所导致的数据（库）安全问题的安全设备或者产品。

数据库防火墙一般情况下部署在应用程序服务器和数据库服务器之间，采用数据库协议解析的方式完成。但这并不是唯一的实现方式，你可以部署在数据库外部，可以不采用协议解析。从这个定义可以看出，数据库防火墙其本质目标是给业务应用程序打补丁，避免由于应用程序业务逻辑漏洞或者缺陷影响数据（库）安全。

常见的应用程序业务逻辑漏洞和缺陷：SQL注入攻击、CC攻击、非预期的大量数据返回、敏感数据未脱敏、频繁的同类 *** 作、超级敏感 *** 作控制、身份盗用和撞库攻击、验证绕行和会话劫持、业务逻辑混乱。

Web防火墙也能够防御SQL注入攻击，为什么还要部署数据库防火墙？

Web防火墙可以抵御的漏洞与缺陷：SQL注入攻击、XSS攻击、CSRF攻击、SSRF攻击、Webshell后门、弱口令、反序列化攻击、命令/代码执行、命令/代码注入、本地/远程文件包含攻击、文件上传攻击、敏感信息泄露、XML实体注入、XPATH注入、LDAP注入、其他。

从抵御范围来看，Web防火墙和数据库防火墙所承载的目标区别较大，SQL注入攻击攻只是两种不同防火墙的为数不多的交叉点。

数据库防火墙是SQL注入防御的终极解决方案

数据库防火墙和Web防火墙部署位置的不同，决定了两种不同产品对于SQL注入攻击的防御策略和效果会大不相同。

部署位置：Web防火墙作用在浏览器和应用程序之间，数据库防火墙作用在应用服务器和数据库服务器之间。

作用协议：Web防火墙作用在Http协议上，数据库防火墙一般作用在数据库协议上，比如Oracle SQL*Net，MSSQL TDS等。

更多的访问通道

通过http服务应用访问数据库只是数据库访问中的一种通道和业务，还有大量的业务访问和http无关，这些http无关的业务自然就无法部署web防火墙，只能依赖于数据库防火墙来完成。

总结

1. 数据库防火墙主要用来防御外部入侵风险，需要和内部安全管控适当分开。

2. 数据库防火墙主要聚焦点是通过修复应用程序业务逻辑漏洞和缺陷来降低或者消除数据（库）安全风险。SQL注入攻击是其核心防御风险，而 数据库漏洞攻击检测和防御则并不是必须的。

3. 由于SQL注入攻击和数据库漏洞攻击的伴生性，数据库防火墙往往具备数据库漏洞检测和防御功能。

4. Web防火墙不能替代数据库防火墙，Web防火墙是SQL注入攻击的第一道防线，数据库防火墙则是SQL注入攻击的终极解决方案。

---