? 數(shù)據(jù)庫(kù)防火墻技術(shù)是針對(duì)關(guān)系型數(shù)據(jù)庫(kù)保護(hù)需求應(yīng)運(yùn)而生的一種數(shù)據(jù)庫(kù)安全主動(dòng)防御技術(shù),，數(shù)據(jù)庫(kù)防火墻部署于應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)之間,。用戶必須通過(guò)該系統(tǒng)才能對(duì)數(shù)據(jù)庫(kù)進(jìn)行訪問(wèn)或管理。?

????數(shù)據(jù)庫(kù)防火墻采用的主動(dòng)防御技術(shù)，能夠主動(dòng)實(shí)時(shí)監(jiān)控,、識(shí)別、告警、阻擋繞過(guò)企業(yè)網(wǎng)絡(luò)邊界（FireWall、IDSIPS等）防護(hù)的外部數(shù)據(jù)攻擊,，以及來(lái)自于內(nèi)部高權(quán)限用戶（DBA、開發(fā)人員,、第三方外包服務(wù)提供商）的數(shù)據(jù)竊取,、破壞、損壞等,，從數(shù)據(jù)庫(kù)SQL語(yǔ)句精細(xì)化控制的技術(shù)層面,，提供一種主動(dòng)安全防御措施。同時(shí),，結(jié)合獨(dú)立于數(shù)據(jù)庫(kù)的安全訪問(wèn)控制規(guī)則,，幫助用戶應(yīng)對(duì)來(lái)自內(nèi)部和外部的數(shù)據(jù)安全威脅。?

????在前些年數(shù)據(jù)中心網(wǎng)絡(luò)構(gòu)建之初,，并未充分考慮到“數(shù)據(jù)安全”的相關(guān)建設(shè),，以致于現(xiàn)階段在網(wǎng)絡(luò)中部署數(shù)據(jù)庫(kù)防火墻產(chǎn)品時(shí)，會(huì)需要適當(dāng)改變數(shù)據(jù)中心架構(gòu),。如何靈活地將數(shù)據(jù)庫(kù)防火墻部署在網(wǎng)絡(luò)之中,，成了數(shù)據(jù)庫(kù)防火墻廠商需要考慮的問(wèn)題,。?

????數(shù)據(jù)庫(kù)防火墻部署時(shí),，需要考慮哪些網(wǎng)絡(luò)特性？下面來(lái)討論一下：?

????第1則?

????鏈路聚合特性能夠提高鏈路帶寬,，同時(shí)增加鏈路的冗余性,。由于防火墻部署在應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)之間，在構(gòu)建之初為防止鏈路單點(diǎn)故障,，大多都會(huì)考慮采用鏈路聚合進(jìn)行部署,。所以，當(dāng)在應(yīng)用服務(wù)器與數(shù)據(jù)庫(kù)之間部署數(shù)據(jù)庫(kù)防火墻時(shí),，需要支持該特性,。?

??? ??手工配置模式：通過(guò)手工配置的方式，指定特定鏈路加入到聚合組當(dāng)中,，該方式下,，所有鏈路都參與數(shù)據(jù)的轉(zhuǎn)發(fā),，并且負(fù)載分擔(dān)流量。假如組中有鏈路故障,，則流量在剩余鏈路中平均分擔(dān)流量,。??

??????靜態(tài)LACP模式：該模式下，需手工添加鏈路到聚合組中,，由LACP協(xié)議協(xié)商確定活動(dòng)接口和非活動(dòng)接口,。LACP模式也稱為M∶N模式。這種方式同時(shí)可以實(shí)現(xiàn)鏈路負(fù)載分擔(dān)和鏈路冗余備份的雙重功能,。在鏈路聚合組中M條鏈路處于活動(dòng)狀態(tài),，這些鏈路負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)并進(jìn)行負(fù)載分擔(dān)，另外N條鏈路處于非活動(dòng)狀態(tài)作為備份鏈路,，不轉(zhuǎn)發(fā)數(shù)據(jù),。當(dāng)M條鏈路中有鏈路出?現(xiàn)故障時(shí)，系統(tǒng)會(huì)從N條備份鏈路中選擇優(yōu)先級(jí)最高的接替出現(xiàn)故障的鏈路,，并開始轉(zhuǎn)發(fā)數(shù)據(jù),。?

??????動(dòng)態(tài)LACP模式：動(dòng)態(tài)LACP匯聚是一種系統(tǒng)自動(dòng)創(chuàng)建或刪除的匯聚，動(dòng)態(tài)匯聚組內(nèi)端口的添加和刪除是協(xié)議自動(dòng)完成的,。只有速率和雙工屬性相同,、連接到同一個(gè)設(shè)備、有相同基本配置的端口才能被動(dòng)態(tài)匯聚在一起,。?

????第2則?

????數(shù)據(jù)中心往往采用二層組網(wǎng)模式,，數(shù)據(jù)使用VLAN標(biāo)簽進(jìn)行轉(zhuǎn)發(fā)，該模式下數(shù)據(jù)轉(zhuǎn)發(fā)效率最高,。在這種環(huán)境下,，需要數(shù)據(jù)庫(kù)防火墻能夠識(shí)別VLAN標(biāo)簽。?

??????Access類型端口：這種類型端口屬于1個(gè)VLAN,，一般用戶與終端進(jìn)行連接,。在數(shù)據(jù)入方向上為其打上VLAN標(biāo)簽，在數(shù)據(jù)出方向上為其去掉VLAN標(biāo)簽,。??

??????Trunk類型端口：這種類型端口可以識(shí)別并轉(zhuǎn)發(fā)多個(gè)VLAN標(biāo)簽的流量,，往往是交換機(jī)之間的連接所采用的方式。當(dāng)數(shù)據(jù)庫(kù)防火墻部署在兩臺(tái)交換機(jī)之間,，需要支持該模式的端口,。?

????第3則?

????如果在網(wǎng)絡(luò)中僅部署一臺(tái)數(shù)據(jù)庫(kù)防火墻，當(dāng)數(shù)據(jù)庫(kù)防火墻失效后,，會(huì)導(dǎo)致業(yè)務(wù)連接的中斷,，即使有bypass存在使得業(yè)務(wù)連續(xù)性得到保證，但對(duì)于數(shù)據(jù)庫(kù)的防護(hù)已經(jīng)失效，所以用戶往往會(huì)考慮部署兩臺(tái)數(shù)據(jù)庫(kù)防火墻,，使用VRRP技術(shù)進(jìn)行熱備,。?

????VRRP是一種路由容錯(cuò)協(xié)議，兩臺(tái)數(shù)據(jù)庫(kù)防火墻之間使用一個(gè)虛擬IP對(duì)外提供服務(wù),，當(dāng)任一臺(tái)數(shù)據(jù)庫(kù)防火墻失效后,，另外一臺(tái)可以對(duì)業(yè)務(wù)進(jìn)行接管。但是由于連接狀態(tài)無(wú)法直接接管,，需要進(jìn)行重新連接來(lái)恢復(fù)業(yè)務(wù),。??

????不同的網(wǎng)絡(luò)特性和應(yīng)用需求下，數(shù)據(jù)庫(kù)防火墻要根據(jù)實(shí)際予以部署,，方能充分利用其價(jià)值,，保證數(shù)據(jù)中心的安全、可靠,。