数据库审计(数据库审计和数据库防火墙的区别

数据库防火墙有数据库审计这两款产品在根本区别在于两者防护原理有区别，数据库审计旁路监测访问数据库行为并做记录，发现高危风险进行告警，但不做实质上的防御，偏向事后的追溯。而数据库防火墙则可以直接串联部署，对应用与数据库之间的访问进行阻断拦截等操作 ，拦截阻断安全威胁，起到事中防护的作用，旁路部署的话则起到的也是审计的效果；

数据库防火墙是串联模式部署在应用系统与数据库之间，所有SQL语句必须经过数据库防火墙的审核后才能到达数据库，发起访问、操作。基于漏洞特征库、SQL注入特征库、黑白名单等的细粒度安全策略制定，结合访问源、访问对象、访问行为、影响行数等准确解析结果，识别恶意数据库指令，及时采取中断会话或准确拦截语句的防御行为，串联部署最大的风险在于不能出现误判断，影响正常语句通过，这就要求数据库防火墙的语句解析能力足够精准，并且能够建立非常完善的行为模型，在发现危险语句时，能够在不中断会话的基础上，准确拦截风险语句，放行正常访问。因此，要想真正发挥防护效果，数据库防火墙必须串联在数据库的前端，可以是物理的（透明串接）或逻辑的（代理）串联。

数据库审计是旁路部署，是一款面向数据库可提供安全、审计、监控能力的一体化工具。能对数据库遭受到的风险行为进行告警，如：数据库漏洞攻击、SQL注入攻击、高危风险操作等，旁路分析识别后再发出阻断请求。两者的区别还是很大的，从关注数据安全，我就开始关注安华金和，他们算国内做的比较早的厂商，算是先行者，主要他们做的产品很专业，易用性很好，我们一直与这家厂商有合作，推荐你也跟你们聊聊。