上面小A的拜訪目的沒有很好達(dá)成，首先自己是沒有完全弄明白數(shù)據(jù)庫(kù)防火墻與傳統(tǒng)網(wǎng)絡(luò)防火墻的區(qū)別，其次很多甲方或合作伙伴也沒有完全弄明白，那么究竟傳統(tǒng)網(wǎng)絡(luò)防火墻與現(xiàn)在出現(xiàn)的數(shù)據(jù)庫(kù)防火墻有何不同呢？其實(shí)主要是以下兩點(diǎn)。

? 部署位置不同：

網(wǎng)絡(luò)防火墻一般部署在出口或者服務(wù)器區(qū)等網(wǎng)絡(luò)邊界。

數(shù)據(jù)庫(kù)防火墻一般部署在數(shù)據(jù)庫(kù)服務(wù)器前端，只對(duì)數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行保護(hù)。

? 防護(hù)對(duì)象不同：

網(wǎng)絡(luò)防火墻同IPS、IDS類似工作在2-7層網(wǎng)絡(luò)協(xié)議防護(hù)，主要解決網(wǎng)絡(luò)準(zhǔn)入等邊界問題。

數(shù)據(jù)庫(kù)防火墻主要針對(duì)的是數(shù)據(jù)庫(kù)流量sql語(yǔ)句，實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)訪問，數(shù)據(jù)使用的安全防護(hù)，例如有效防止批量數(shù)據(jù)泄露，惡意篡改數(shù)據(jù)等。

用大家比較熟悉的“等保”來(lái)講，對(duì)于數(shù)據(jù)庫(kù)防護(hù)，一般而言都會(huì)有數(shù)據(jù)庫(kù)審計(jì)設(shè)備的部署，它能解決數(shù)據(jù)庫(kù)非法操作的及時(shí)告警以及安全事件發(fā)生后的調(diào)查取證，但由于其旁路部署的原因，對(duì)于安全事件發(fā)生時(shí)的管控相對(duì)較弱。

這時(shí)候就需要數(shù)據(jù)庫(kù)防火墻產(chǎn)品進(jìn)行事中防護(hù)了，對(duì)于實(shí)時(shí)操作數(shù)據(jù)庫(kù)竊取數(shù)據(jù)的行為進(jìn)行實(shí)時(shí)阻斷，有效防止數(shù)據(jù)被破壞或者竊取。如，2020年的微盟刪庫(kù)事件；單位通過(guò)管理手段配合橋接部署數(shù)據(jù)庫(kù)防火墻，及時(shí)對(duì)刪庫(kù)命令進(jìn)行攔截即可避免惡性事件的發(fā)生。

數(shù)據(jù)庫(kù)防火墻是對(duì)數(shù)據(jù)安全審計(jì)的進(jìn)一步補(bǔ)充，可大大加強(qiáng)數(shù)據(jù)庫(kù)事中安全風(fēng)險(xiǎn)的訪問管控，保護(hù)數(shù)據(jù)庫(kù)安全，讓數(shù)據(jù)安全的合規(guī)建設(shè)進(jìn)一步提升。