Oracle数据库防火墙技术是甲骨文探索出的一种先进的数据库纵深防御体系，提供的系列数据库安全产品能够在数据加密和屏蔽的基础上，实行访问控制，并实时监控整个数据环境里的活动，实现立体化的数据保护。

Oracle数据库防火墙基于网络的安全软件监控信息流，使Oracle和非Oracle数据库免于攻击。它围绕数据库建立了一个外围防御圈，实时监控应用的各种活动，允许正常的应用活动，同时帮助防止SQL注入式攻击，以及对敏感信息的无授权访问。

图1 什么是数据库防火墙？

Oracle数据库防火墙采用了创新性SQL语法分析技术，检查发往数据库的SQL语句，并根据预先制定的政策决定是否让某SQL语句通过以及是否记录、禁止或取代某SQL语句，这种决定的正确率非常高。预先制定的政策包括：

白名单政策，即遇到该名单认可的SQL语句时，防火墙就将其看作正常 语句，让其通过，而其余语句则禁止通过；

黑名单政策，即专门禁止该名单未授权的SQL语句通过；

例外政策，即可以灵活地让适用的数据库安全政策无效，以支持软件修补、定制的成批作业和/或“打碎玻璃”型管理控制；

运用各种属性的政策，如一天中的时间、IP地址、应用、用户和SQL类等属性。

图2 为什么需要数据库防火墙？

Oracle数据库防火墙简单、易部署，不需要对现有应用、数据库基础设施或目标数据库的现用操作系统进行任何调整，它可在网络上在线部署，既可采用禁止与监控模式，也可采用仅监控的系统外模式。

图3 Oracle数据库防火墙提供快速和灵活的部署方式

Oracle数据库防火墙可在基于英特尔处理器的硬件上运行，并能轻松进行扩展，以支持大量数据库服务器。它配备了很多预置和可定制的报告，有助于企业满足各种隐私和管制法令要求，如支付卡行业（PCI）数据库安全标准（DSS）、美国萨班法案（SOX）和美国HIPAA法案。

Oracle数据库防火墙可与以下数据库配合使用：

Oracle数据库11g及之前的版本；

面向Linux、UNIX和Windows（版本9.x）的IBM DB2；

Microsoft SQL Server 2000、2005和2008；

Sybase Adaptive Server Enterprise（ASE）（版本12.5.4至15）；

Sybase SQL Anywhere V10。

图4 Oracle数据库防火墙丰富的报告功能

原文链接：http://netsecurity.51cto.com/art/201108/280395.htm