数据库防火墙和Web防火墙

　　1. Web防火墙

　　很多人可能会问，Web防火墙也能够防御SQL注入攻击，我为什么还要部署数据库防火墙？首先我们来看看WAF能做些什么：

　　SQL注入攻击

　　XSS攻击

　　CSRF攻击

　　SSRF攻击

　　Webshell后门

　　弱口令

　　反序列化攻击

　　命令/代码执行

　　命令/代码注入

　　本地/远程文件包含攻击

　　文件上传攻击

　　敏感信息泄露

　　XML实体注入

　　XPATH注入

　　LDAP注入

　　其他

　　从这个列表看，显然Web防火墙和数据库防火墙所承载的目标区别比较大，SQL注入攻击攻只是两种不同防火墙的为数不多的交叉点。

　　2. 数据库防火墙是SQL注入防御的终极解决方案

　　数据库防火墙和Web防火墙部署位置的不同，决定了两种不同产品对于SQL注入攻击的防御策略和效果会大不相同。

　　部署位置：Web防火墙作用在浏览器和应用程序之间，数据库防火墙作用在应用服务器和数据库服务器之间。

　　作用协议：Web防火墙作用在Http协议上，数据库防火墙一般作用在数据库协议上，比如Oracle SQL*Net，MSSQL TDS等。

　　Web防火墙作用在浏览器和应用程序之间，使他只能够看得见用户提交的相关信息，而用户提交信息往往只是数据库SQL语句的一个碎片，缺乏对于数据库SQL的全局认知，更加不用说SQL语句的上下文关系了。Web防火墙只能做一些基于常规异常特征以及出现过的特征进行识别和过滤，使Web防火墙的SQL注入攻击防御效果依赖于攻击者的水平和创意，只要攻击者具有一定的创意，Web防火墙很难防御SQL注入攻击。

　　数据库防火墙作用在应用服务器和数据库服务器之间，看到的是经过了复杂的业务逻辑处理之后最后生成的完整SQL语句，也就是说是攻击者的最终表现形态，已经撕去了大量的伪装。由于看到的是缺乏变化的最终形态，使数据库防火墙可以比较Web防火墙采用更加积极的防御策略，比如守白知黑策略进行异常SQL行为检测，100%防御SQL注入攻击。即使简单采用和Web防火墙类似的黑名单策略，由于看到的信息使完整的最终信息，使其防御难度比较Web防火墙大幅度下降，防御效果自然会更好。

　　3. 更多的访问通道

　　通过http服务应用访问数据库只是数据库访问中的一种通道和业务，还有大量的业务访问和http无关，这些http无关的业务自然就无法部署web防火墙，只能依赖于数据库防火墙来完成。

　　二、总结

　　1. 数据库防火墙主要用来防御外部入侵风险，需要和内部安全管控适当分开。

　　2. 数据库防火墙主要聚焦点是通过修复应用程序业务逻辑漏洞和缺陷来降低或者消除数据（库）安全风险。SQL注入攻击是其核心防御风险，而数据库漏洞攻击检测和防御则并不是必须的。

　　3. 由于SQL注入攻击和数据库漏洞攻击的伴生性，数据库防火墙往往具备数据库漏洞检测和防御功能。

　　4. Web防火墙不能替代数据库防火墙，Web防火墙是SQL注入攻击的第一道防线，数据库防火墙则是SQL注入攻击的终极解决方案。