您的数据中心加强防御了吗?

您的数据中心加强防御了吗?

对于企业来说,数据的安全是尤为重要的,保障企业的数据安全不仅能帮助我们的企业业务顺利的进行,还能帮助企业最大化的提高收益.但是网络时代,我们的数据中心日趋变化,我们的网站也会遭到各种攻击或是威胁，如何保护我们企业数据中心的安全，防止外部的攻击呢！

据媒体披露，2014年5月小米科技官方数据库泄露涉及800万小米论坛注册用户，泄露的数据可进入小米账户，通过小米云服务可得到手机号及设备信息。2014年1月21日，国际互联网节点出现故障致使我国三分之二的DNS服务器瘫痪，所有通用顶级域根出现异常，导致大量网站域名解析不正常，国内网络大面积瘫痪。包括百度在内的多家知名网站都未能幸免。还有很多安全事件发生着，可见数据中心面临的安全问题依然非常严峻。2014年3月携程网保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取，用户身份证号、银行卡号、CVV码等信息或遭泄露。

其实我们知道防火墙的功能是对整个网络的访问进行控制，是确保边界安全的公认守护者，是专业提高网络信息安全的大拿。在大数据的带领下，企业必须为数据中心提供足够的安全保障。

借助F5 BIG-IP ASM和Oracle 数据库防火墙实现应用与数据安全

企业需要一种端到端的Web应用和数据库安全解决方案， 以保护数据、客户及其业务的安全。F5和Oracle推出的集成解决方案提供了对SQL注入攻击的更强的防护，并且提供了关联的报告，其中包含更丰富的上下文信息。

1、分层的上下文数据安全

数据库是一个企业的关键数据的主要存储和检索装置—而且保障该数据库的安全至关重要。随着越来越多的应用流量通过网络传输，敏感数据会暴露在新的安全漏洞和攻击中。市场上有用于防护Web或数据库攻击的单独技术，但互不关联意味着这些技术缺乏上下关联。企业需要一种端到端的Web应用与数据库安全解决方案，用于保护其数据、客户的安全，并最终实现业务的安全性。

2、双层端到端防护

BIG-IP应用安全管理器和Oracle数据库防火墙解决方案将Web应用防火墙与数据库防火墙链接在一起,对大量基于Web的攻击提供了全面的网络边缘防护。它分析每个HTTP/HTTPS请求，并阻止潜在的攻击到达Web应用服务器。Oracle数据库防火墙是数据库的第一道防线，对网络中的数据库活动提供了实时的监控。高度精确且基于SQL语法的技术可阻止未授权的交易，这有助于防止攻击到达数据库。Oracle数据库防火墙部署在Web应用服务器和数据库之间。它提供了对于来自网络内部或外部的攻击的防护，并且通过分析发送到数据库的SQL语句的意图而做到这一点。它不依赖于识别已知安全威胁的语法，因此可以阻止以前未见过的攻击，其中包括针对一个组织的攻击。它易于部署，因为不需要更改现有的应用或数据库。

对于基于Web尝试访问敏感数据、破坏数据库或者执行服务拒绝 (DoS) 攻击的企图，两个产品共享关于这些企图的相同报告。应用防火墙和数据库防火墙的统一报告提供了便利且综合的安全监控。两个安全解决方案之间的这种集成为防止Web和数据库层受到SQL注入攻击提供了全面且整体的方法。

3、BIG-IP ASM与Oracle数据库防火墙如何协同运行

在检测到对数据的威胁时，F5和Oracle解决方案会监控、告警或阻止威胁，而且用户身份在BIG-IP ASM和Oracle数据库防火墙之间通过iRules®共享。对于恶意QL注入，Oracle数据库防火墙将即时阻止该攻击，并记录动作，但它不能确定谁尝试发起攻击。BIG-IP ASM收集用户名、客户端、浏览器、会话信息、时间、cookies、URL、SQL语句等。然后，Oracle的报告引擎合并两个产品的报告，而管理员不仅能够看到攻击企图，而且能够了解关键数据，以确定谁发起了攻击。触发的告警和附带的详细报告会立即通知威胁的类型和严重程度。通过两个信息来源，即BIG-IP ASM和Oracle数据库防火墙，最终互相关联的数据更加丰富，使得策略的制定能够更准确，更精细化。通过这种明细程度，恶意或有风险的用户可以实时地被隔离，强制重新认证，或者禁止访问应用。来自同一个用户的后续攻击可以被F5和Oracle解决方案禁止、转向或者拒绝。

4、BIG-IP ASM和Oracle数据库防火墙的交互

尽管两种安全解决方案都能够检测并阻止SQL注入攻击，但在该解决方案中，BIGIPASM配置为阻止除SQL注入之外的所有威胁，而SQL注入由Oracle数据库防火墙进行识别和阻止。BIG-IP ASM配置为主动地阻止恶意的Web应用流量，但仅对与SQL注入相关的企图给出告警。在BIG-IP ASM检测到SQL注入攻击时，它会触发告警，并将收集到的上下文信息发送给Oracle数据库防火墙。这样，BIG-IP

ASM为Oracle数据库防火墙提供了Web应用和用户上下文，但可能不产生错误肯定判断，并防止Oracle数据库防火墙执行主要的安全功能。这种集成减少了SQL注入攻击的错误肯定和错误否定判断，并且使企业相信所有SQL注入攻击都将被控制。如果BIG-IP ASM阻止了包含SQL注入攻击的HTTP请求，Oracle数据库防火墙永远不会收到SQL请求（通过Web应用），并且不会报告任何信息。在不太可能发生的信息受到威胁的情况下，BIG-IP ASM会处理这一问题。BIGIP

ASM中的掩码数据 (Mask Data) 特性自动清除传送给用户的敏感数据，以防止数据泄露。

结束语

F5作为安全专家，真正的帮助企业保护我们的数据库，其解决方案增强了基于Web的数据库应用的安全，为我们的企业提供了分层防护，而且提供了上下文信息，帮助做出明智的行动决策。