数据库是最重要的应用之一，几乎所有的行业应用都涉及到数据库。数据库主要的风险是数据库的完整性和可用性遭到破坏。数据库完整性，是指数据库保存的数据必须是用户保存的真实数据，未经授权不得改动。如果数据库被破坏，那么用户的真实数据就会丢失，而数据库的数据多是用户的核心数据和核心资产。数据库的可用性，是指数据库必须面向应用提供服务，如果服务被拒绝，那么数据库就不可用。数据库安全还包括保密性、访问控制、可鉴别和防抵赖等。

    传统的防火墙保护数据库，对保密性、访问控制、可鉴别以及防抵赖有一定帮助，但对数据库的完整性和可用性保护不足。入侵检测可能检测到对数据库的异常访问，但不具备访问控制的功能，即使检测到攻击也是事后诸葛。漏洞扫描针对数据库的很少，也不能保证扫描后数据库就完全。只要还存在TCP/IP协议，就存在基于TCP/IP协议缺陷的攻击，只要操作系统存在漏洞和数据库应用存在漏洞，就存在基于操作系统和应用的入侵，这些攻击和入侵破坏了数据库的完整性，导致数据库被删除或部分数据被篡改。只要存在通信协议、TCP/IP协议和应用协议，基于协议的拒绝服务攻击就不可避免，这些拒绝服务攻击，破坏了数据库的可用性。

    隔离网闸是与防火墙完全不同的安全技术，防火墙在保证连通的情况下尽可能安全，网闸在保证安全的情况下尽可能支持数据交换，如果不安全则断开。网闸在网络断开的情况下，通过模拟拷盘的方式来进行数据交换，交换的是原始数据。网闸对应用的支持是通过对应用协议的剥离和重建来完成的。网闸因为没有通信协议，没有TCP/IP协议，没有应用协议，因此不存在上述安全风险。网闸产品可以解决数据库保护所需要的完整性、可用性、保密性、可鉴别和防抵赖等特性。网闸一问世，就被广泛地应用在数据库的保护上。

    图2: 数据库的工作机制，实际上是一组或多组表单数据按照应用规定进行数据交换。一个用户查询数据库，先要向数据库输入查询的信息，查询信息可以用表单数据的形式来表示。数据库查询完毕后，向用户反馈查询到的数据，这组数据也可以用表单数据的形式来表示。

    数据库在内网和外网这种特殊的网络结构下有多种应用，如数据库备份和数据库同步等，其中以数据库同步最为典型。数据库同步支持全表更新、增量更新、全表复制等基本功能。根据数据库类型的不同和其工作机制的不同，有些也支持部分更新和标志更新等。还有些是跨不同数据库之间的数据交换。网闸可以很好地支持上述应用。以中网X-GAP 8500网闸为例，X-GAP支持Oracle、Sybase、MS SQL、MySQL、DB2等多种数据库，支持同种、异种数据库之间的数据备份、同步和更新。X-GAP支持用户身份认证，数据库内容过滤，支持数据库之间的加密传输，如基于IPSec的VPN，支持基于IP、端口的访问控制。

     数据库应用通常是一个数据库、一个中间件服务器和一个应用服务器如Web服务器等。根据情况的不同，保护的方式也不同，一种是把Web服务器放在外网，数据库和中间件服务器放在内网。网闸保护数据库和中间件服务器，也支持Web服务器与数据库和中间件之间的数据交换。

    另外一种部署方法，是将数据库、中间件和Web服务器全部放在内网上，在网闸上设置一个虚拟的Web服务端口，网闸直接将虚拟Web服务的数据交换给内部的Web服务器上。这种情况，数据库、中间件和Web服务器都受到了网闸的保护。

联系电话:010-87494812

邮件:white.lu@email.netchina.com.cn