数据库防火墙的特点以及比较核心的功能有哪些

数据库防火墙的特点以及比较核心的功能有下面这几点：
1、
屏蔽直接访问数据库的通道
数据库防火墙部署介于数据库服务器和应用服务器之间，屏蔽直接访问的通道，防止数据库隐通道对数据库的攻击。
2、
二次认证
基于独创的连接六元组授权单位，应用程序对数据库的访问，必须经过数据库防火墙和数据库自身两层身份认证。
3、
攻击保护
实时检测用户对数据库进行的SQL注入和缓冲区溢出攻击。并报警或者阻止攻击行为，同时详细的审计下攻击 *** 作发生的时间、来源IP、登录数据库的用户名、攻击代码等详细信息。
4、
安全审计
系统能够审计对数据库服务器的访问情况。包括用户名、程序名、IP地址、请求的数据库、连接建立的时间、连接断开的时间、通信量大小、执行结果等等信息。并提供灵活的回放日志查询分析功能，并可以生存报表。
5、
防止外部黑客攻击威胁
黑客利用Web应用漏洞，进行SQL注入;或以Web应用服务器为跳板，利用数据库自身漏洞攻击和侵入。通过限定更新和删除影响行、限定无Where的更新和删除 *** 作、限定drop、truncate等高危 *** 作避免大规模损失。

个人认为 防火墙分为网络防火墙和个人防火墙2类
网络防火墙主要是对外网和内网之间的信息过滤的，但是内网之间的攻击不起到防护作用，或者外网利用某种技术绕过防火墙进行攻击网络防火墙也不会理会了
个人防火墙其实可以理解为是针对于本地与外部之间信息过滤的
防火墙只是防攻击，但是不能防毒
所以还有一类是防毒墙

硬件防火墙和软件防火墙的区别是在形式上，硬件防火墙就是一个硬件设备，是具有防护的功能的网络设备，一般都比较贵；而软件防火墙则是通过在服务器上安装一个防火墙软件，来达到防火墙的功能，比如PC上自带的“Windows防火墙”就属于软件防火墙了，优点不需要购买安装专门的设备，但是可能会影响服务器的访问效率，没有硬件防火墙效率高，访问效率也是它们的一大区别。而专用防火墙则是为了专门防范某种网络风险的防火墙，比如WAF防火墙，全称是Web应用防火墙，就是专门防范Web攻击，像注入等等针对Web的攻击的防火墙，如果安装了WAF防火墙，针对Web以外的攻击它一般是防范不了的，这就是专用防火墙。同样，硬件防火墙和软件防火墙是形式上的区别，所以像WAF防火墙也分为软件WAF防火墙和硬件WAF防火墙两种形式，这里多说一点，因为WAF防火墙是针对Web网站进行防护，因此两者在运行效率上有很大区别，所以访问量大的网站会选择硬件WAF防火墙。

在今天互联网普及的时代，网络几乎已离不开每个人的生活。网络发达迅速，然而在上网时我们的电脑却可能不安全，也许你不知道，在你用QQ或者MSN聊天时，别人可能已侵入你的电脑。古话说，防人之心不可无，这里就给大家介绍国内最优秀的个人网络安全防护工具——天网防火墙个人版。天网防火墙可以有效地控制个人用户电脑的信息在互联网上的收发。用户自己可以通过设定一些参数，从而达到控制本机与互联网之间的信息交流，阻止和杜绝一些恶性信息对本机的攻击，比如ICMP flood攻击、聊天室炸d、木马信息等等，现在最新的版本是261。下面给大家说说天网防火墙的应用，希望能帮助广大的计算机初学者。
由于天网防火墙有正式版（收费的版本，服务好，功能强）和试用版（免费，用的人很多，高级功能受一些限制）之分，本人支持正版软件，所以这里就以正式版为例给大家介绍，试用版的界面和 *** 作基本都一样，使用试用版的可以参考类似的 *** 作。
安装完后要重起，重起后打开天网防火墙就能起到作用了。默认情况下，它的作用就很强大了。但有时它苛刻的IP规则也带来了很多不便，后面再说。所以，如果没什么特殊要求的，就设置为默认就OK了，安全级别为中就好。
一、普通应用（默认情况）
下面来介绍天网的一些简单设置，如下图一是系统设置界面，大家可以参照来设置：图一
此主题相关如下：
下面是IP规则，一般默认就可以了，其实在未经过修改的自定义IP规则是与默认中级的规则一样的。但如果你想新建新的IP规则也是可以的，因为我们再介绍，这里是默认情况就不多说了。图二
此主题相关如下：
下面是各个程序使用及监听端口的情况，可以查看什么程序使用了端口，使用哪个端口，是不是有可疑程序在使用网络资源，如木马程序，然后可以根据要求再自定义IP规则里封了某些端口以及禁止某些IP访问自己的机子等等。图三
此主题相关如下：
再看下图就是日志，上面记录了你程序访问网络的记录，局域网，和网上被IP扫描你端口的情况，供参考以便采取相应对策，由于是默认就不多说了，日志上基本都是拒绝的 *** 作。图四
此主题相关如下：
以上是天网在默认下的一些情况，只要你没什么特殊要求，如开放某些端口或 屏蔽某些端口，或某些IP *** 作等等，默认下就能起到防火墙的强大作用。但是防火墙的苛刻要求给某些程序的使用带来麻烦。以下就介绍开放某些端口的设置方法，大家可以依次类推，完成你想要的相关 *** 作。
二、防火墙开放端口应用
如果想开放端口就得新建新的IP规则，所以在说开放端口前，我们来说说怎么新建一个新的IP规则，如下图五，在自定义IP规则里双击进行新规则设置。图五
此主题相关如下：
点击增加规则后就会出现以下图六所示界面，我们把它分成四部分。图六
此主题相关如下：
1）图六1是新建IP规则的说明部分，你可以取有代表性的名字，如“打开BT6881-6889端口”，说明详细点也可以。还有数据包方向的选择，分为接收，发送，接收和发送三种，可以根据具体情况决定。
2）就是对方IP地址，分为任何地址，局域网内地址，指定地址，指定网络地址四种。
3）IP规则使用的各种协议，有IP，TCP，UDP，ICMP，IGMP五种协议，可以根据具体情况选用并设置，如开放IP地址的是IP协议，QQ使用的是UDP协议等。
4）比较关键，就是决定你设置上面规则是允许还是拒绝，在满足条件时是通行还是拦截还是继续下一规则，要不要记录，就看你自己想怎么样了，具体看后面的实例。
如果设置好了IP规则就单击确定后保存并把规则上移到该协议组的置顶，这就完成了新的IP规则的建立，并立即发挥作用。
三、打开端口实例
在介绍完新IP规则是怎么建立后，我们就开始举例说明，毕竟例子是最好的说明。大家也许都知道BT使用的端口为6881－6889端口这九个端口，而防火墙的默认设置是不允许访问这些端口的，它只允许BT软件访问网络，所以有时在一定程度上影响了BT下载速度。当然你关了防火墙就没什么影响了，但机器是不是就不安全了？所以下面以打开6881－6889端口举个实例。
1）在图五双击后建立一个新的IP规则后在出现的下图七里设置，由于BT使用的是TCP协议，所以就按下图七设置就OK了，点击确定完成新规则的建立，我命名为BT。图七
此主题相关如下：
设置新规则后，把规则上移到该协议组的置顶，并保存。然后可以进行在线端口测试是否BT的连接端口已经开放的。图八
此主题相关如下：
四、应用自定义规则防止常见病毒
上面介绍的是开放端口的应用，大体上都能类推，如其他程序要用到某些端口，而防火墙没有开放这些端口时，就可以自己设置，相信大家能搞定。下面来介绍一些实例的应用，就是封端口，让某些病毒无法入侵。
1、防范冲击波
冲击波，这病毒大家熟悉吧？？它是利用WINDOWS系统的RPC服务漏洞以及开放的69、135、139、445、4444端口入侵。
如何防范，就是封主以上端口，首先在图八里见到的“禁止互联网上的机器使用我的共享资源”这项的起用（就是打勾）就已经禁止了135和139两个端口。
下边是禁止4444端口的图九
此主题相关如下：
下面是禁止69和445端口的图，上图为69下图为445
此主题相关如下：
此主题相关如下：
建立完后就保存，记得保存，很所人就是不记得保存。保存完后就可以防范冲击波了，补丁都不用打，爽吧？？
2、防范冰河木马
冰河，熟悉了吧？也是比较狠的病毒哦，它使用的是UDP协议，默认端口为7626，只要在防火墙里把它给封了，看它还能怎么样？具体见下图
此主题相关如下：
如你掌握一些病毒的攻击特性及其使用的端口就可以参照上面的方法设置，其实设置都差不多，大家可以参照，可以大大防范病毒和木马的攻击！
五、下面介绍怎么打开WEB和FTP服务
相信不少朋友都使用了FTP服务器软件和WEB服务器，放火墙不仅限制本机访问外部的服务器，也限制外部计算机访问本机。
所以我们为了WEB和FTP服务器能正常使用就得设置防火墙，首先在图八把“禁止所有人连接”前的勾去掉。
以下是WEB和FTP的IP规则供大家参考上图为WEB，下图为FTP。
此主题相关如下：
此主题相关如下：
六、常见日志的分析（仅供参考）
使用防火墙关键是会看日志，看懂日志对分析问题是非常关键的，大家看下图，就是日志记录，上面记录了不符合规则的数据包被拦截的情况，通过分析日志就能知道自己受到什么攻击。下面我们就来说说日志代表的意思，当然很多我也是模模糊糊的，希望大虾能给些更详细的解释。
此主题相关如下：
看上图，一般日志分为三行，第一行反映了数据包的发送、接受时间、发送者IP地址、对方通讯端口、数据包类型、本机通讯端口等等情况；第二行为TCP数据包的标志位，共有六位标志位，分别是：URG、ACK、PSH、RST、SYN、FIN，在日志上显示时只标出第一个字母，他们的简单含义如下：
ACK：确认标志
提示远端系统已经成功接收所有数据
SYN：同步标志
该标志仅在建立TCP连接时有效，它提示TCP连接的服务端检查序列编号
FIN：结束标志
带有该标志位的数据包用来结束一个TCP会话，但对应端口还处于开放状态，准备接收后续数据。
RST：复位标志，具体作用未知
其他不知道了，呵呵
第三行是对数据包的处理方法，对于不符合规则的数据包会拦截或拒绝，对符合规则的但被设为监视的数据包会显示为“继续下一规则”。
下面举些常见典型例子来讲讲：
记录1：[22：30：56] 202、121、0、112 尝试用PING来探测本机
TCP标志： S
该 *** 作被拒绝
该记录显示了在22：30：56时，从IP地址202、121、0、112 向你的电脑发出PING命令来探测主机信息，但被拒绝了。
人们用PING命令来确定一个合法IP是否存在，当别人用PING命令来探测你的机器时，如果你的电脑安装了TCP/IP协议，就回返回一个回音ICMP包，如果你在防火墙规则里设置了“防止别人用PING命令探测主机”如图八里设置，你的电脑就不会返回给对方这种ICMP包，这样别人就无法用PING命令探测你的电脑，也就以为没你电脑的存在。如果偶尔一两条就没什么大惊小怪的，，但如果在日志里显示有N个来自同一IP地址的记录，那就有鬼了，很有可能是别人用黑客工具探测你主机信息，他想干什么？谁知道？肯定是不怀好意的。
记录2：[5：29：11] 61、114、155、11试图连接本机的>1、首先，需要在防火墙上开启虚拟化授权功能，以便让防火墙上的服务器能够接收客户机的虚拟化授权请求。具体步骤如下：
a) 登录防火墙，打开“服务”菜单，选择“虚拟化授权”，然后在“授权服务器”中选择“双机虚拟化”；
b) 在“主机名称”中输入双机虚拟化主机的主机名；
c) 在“授权端口”中输入双机虚拟化授权服务器的端口号；
d) 在“授权验证”中输入双机虚拟化授权服务器的验证密码；
e) 在“令牌”中输入双机虚拟化授权令牌的序列号；
f) 点击“应用”按钮，保存设置；
g) 重启防火墙，使配置生效。
2、接下来，需要在客户机上开启虚拟化授权功能，以便让客户机能够向防火墙发送虚拟化授权请求。具体步骤如下：
a) 登录客户机，打开“服务”菜单，选择“虚拟化授权”，然后在“授权服务器”中选择“双机虚拟化”；
b) 在“主机名称”中输入双机虚拟化主机的主机名；
c) 在“授权端口”中输入双机虚拟化授权服务器的端口号；
d) 在“授权验证”中输入双机虚拟化授权服务器的验证密码；
e) 点击“应用”按钮，保存设置；
f) 重启客户机，使配置生效。
3、最后，需要在防火墙和客户机之间建立双向通信，以便双机虚拟化授权功能可以正常工作。具体步骤如下：
a) 登录防火墙，在“网络”菜单中，添加客户机的IP地址，并且勾选“允许双向通信”；
b) 登录客户机，在“网络”菜单中，添加防火墙的IP地址，并且勾选“允许双向通信”；
c) 重启防火墙和客户机，使配置生效；
d) 将双机虚拟化授权令牌插入防火墙上的USB端口，用以激活虚拟化授权功能。

---