美創科技：資料庫防火牆網路特性討論

資料庫防火牆技術是針對關係型資料庫保護需求應運而生的一種資料庫安全主動防禦技術，資料庫防火牆部署於應用伺服器和資料庫之間。用戶必須通過該系統才能對資料庫進行訪問或管理。

資料庫防火牆採用的主動防禦技術，能夠主動實時監控、識別、告警、阻擋繞過企業網路邊界(FireWall、IDSIPS等)防護的外部數據攻擊，以及來自於內部高許可權用戶(DBA、開發人員、第三方外包服務提供商)的數據竊取、破壞、損壞等，從資料庫SQL語句精細化控制的技術層面，提供一種主動安全防禦措施。同時，結合獨立於資料庫的安全訪問控制規則，幫助用戶應對來自內部和外部的數據安全威脅。

在前些年數據中心網路構建之初，並未充分考慮到「數據安全」的相關建設，以致於現階段在網路中部署資料庫防火牆產品時，會需要適當改變數據中心架構。如何靈活地將資料庫防火牆部署在網路之中，成了資料庫防火牆廠商需要考慮的問題。

資料庫防火牆部署時，需要考慮哪些網路特性?下面來討論一下：

第1則

鏈路聚合特性能夠提高鏈路帶寬，同時增加鏈路的冗餘性。由於防火牆部署在應用伺服器和資料庫之間，在構建之初為防止鏈路單點故障，大多都會考慮採用鏈路聚合進行部署。所以，當在應用伺服器與資料庫之間部署資料庫防火牆時，需要支持該特性。

??手工配置模式：通過手工配置的方式，指定特定鏈路加入到聚合組當中，該方式下，所有鏈路都參與數據的轉發，並且負載分擔流量。假如組中有鏈路故障，則流量在剩餘鏈路中平均分擔流量。

??靜態LACP模式：該模式下，需手工添加鏈路到聚合組中，由LACP協議協商確定活動介面和非活動介面。LACP模式也稱為M∶N模式。這種方式同時可以實現鏈路負載分擔和鏈路冗餘備份的雙重功能。在鏈路聚合組中M條鏈路處於活動狀態，這些鏈路負責轉發數據並進行負載分擔，另外N條鏈路處於非活動狀態作為備份鏈路，不轉發數據。當M條鏈路中有鏈路出?現故障時，系統會從N條備份鏈路中選擇優先順序最高的接替出現故障的鏈路，並開始轉發數據。

??動態LACP模式：動態LACP匯聚是一種系統自動創建或刪除的匯聚，動態匯聚組內埠的添加和刪除是協議自動完成的。只有速率和雙工屬性相同、連接到同一個設備、有相同基本配置的埠才能被動態匯聚在一起。

第2則

數據中心往往採用二層組網模式，數據使用VLAN標籤進行轉發，該模式下數據轉發效率最高。在這種環境下，需要資料庫防火牆能夠識別VLAN標籤。

??Access類型埠：這種類型埠屬於1個VLAN，一般用戶與終端進行連接。在數據入方向上為其打上VLAN標籤，在數據出方向上為其去掉VLAN標籤。

??Trunk類型埠：這種類型埠可以識別並轉發多個VLAN標籤的流量，往往是交換機之間的連接所採用的方式。當資料庫防火牆部署在兩台交換機之間，需要支持該模式的埠。

第3則

如果在網路中僅部署一台資料庫防火牆，當資料庫防火牆失效後，會導致業務連接的中斷，即使有bypass存在使得業務連續性得到保證，但對於資料庫的防護已經失效，所以用戶往往會考慮部署兩台資料庫防火牆，使用VRRP技術進行熱備。

VRRP是一種路由容錯協議，兩台資料庫防火牆之間使用一個虛擬IP對外提供服務，當任一台資料庫防火牆失效後，另外一台可以對業務進行接管。但是由於連接狀態無法直接接管，需要進行重新連接來恢復業務。

不同的網路特性和應用需求下，資料庫防火牆要根據實際予以部署，方能充分利用其價值，保證數據中心的安全、可靠。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！