美创科技：数据库防火墙网络特性讨论

  数据库防火墙技术是针对关系型数据库保护需求应运而生的一种数据库安全主动防御技术，数据库防火墙部署于应用服务器和数据库之间。用户必须通过该系统才能对数据库进行访问或管理。 

    数据库防火墙采用的主动防御技术，能够主动实时监控、识别、告警、阻挡绕过企业网络边界（FireWall、IDS\IPS等）防护的外部数据攻击，以及来自于内部高权限用户（DBA、开发人员、第三方外包服务提供商）的数据窃取、破坏、损坏等，从数据库SQL语句精细化控制的技术层面，提供一种主动安全防御措施。同时，结合独立于数据库的安全访问控制规则，帮助用户应对来自内部和外部的数据安全威胁。

    在前些年数据中心网络构建之初，并未充分考虑到“数据安全”的相关建设，以致于现阶段在网络中部署数据库防火墙产品时，会需要适当改变数据中心架构。如何灵活地将数据库防火墙部署在网络之中，成了数据库防火墙厂商需要考虑的问题。

    数据库防火墙部署时，需要考虑哪些网络特性？下面来讨论一下：

    第1则

    链路聚合特性能够提高链路带宽，同时增加链路的冗余性。由于防火墙部署在应用服务器和数据库之间，在构建之初为防止链路单点故障，大多都会考虑采用链路聚合进行部署。所以，当在应用服务器与数据库之间部署数据库防火墙时，需要支持该特性。 

    •手工配置模式：通过手工配置的方式，指定特定链路加入到聚合组当中，该方式下，所有链路都参与数据的转发，并且负载分担流量。假如组中有链路故障，则流量在剩余链路中平均分担流量。  

    •静态LACP模式：该模式下，需手工添加链路到聚合组中，由LACP协议协商确定活动接口和非活动接口。LACP模式也称为M∶N模式。这种方式同时可以实现链路负载分担和链路冗余备份的双重功能。在链路聚合组中M条链路处于活动状态，这些链路负责转发数据并进行负载分担，另外N条链路处于非活动状态作为备份链路，不转发数据。当M条链路中有链路出•现故障时，系统会从N条备份链路中选择优先级最高的接替出现故障的链路，并开始转发数据。 

    •动态LACP模式：动态LACP汇聚是一种系统自动创建或删除的汇聚，动态汇聚组内端口的添加和删除是协议自动完成的。只有速率和双工属性相同、连接到同一个设备、有相同基本配置的端口才能被动态汇聚在一起。

    第2则

    数据中心往往采用二层组网模式，数据使用VLAN标签进行转发，该模式下数据转发效率最高。在这种环境下，需要数据库防火墙能够识别VLAN标签。 

    •Access类型端口：这种类型端口属于1个VLAN，一般用户与终端进行连接。在数据入方向上为其打上VLAN标签，在数据出方向上为其去掉VLAN标签。  

    •Trunk类型端口：这种类型端口可以识别并转发多个VLAN标签的流量，往往是交换机之间的连接所采用的方式。当数据库防火墙部署在两台交换机之间，需要支持该模式的端口。

    第3则

    如果在网络中仅部署一台数据库防火墙，当数据库防火墙失效后，会导致业务连接的中断，即使有bypass存在使得业务连续性得到保证，但对于数据库的防护已经失效，所以用户往往会考虑部署两台数据库防火墙，使用VRRP技术进行热备。

    VRRP是一种路由容错协议，两台数据库防火墙之间使用一个虚拟IP对外提供服务，当任一台数据库防火墙失效后，另外一台可以对业务进行接管。但是由于连接状态无法直接接管，需要进行重新连接来恢复业务。 

    不同的网络特性和应用需求下，数据库防火墙要根据实际予以部署，方能充分利用其价值，保证数据中心的安全、可靠。