云数据库RDS

    DB防火墙

    SQL 注入是指通过把 SQL 命令插入到 Web 表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的 SQL 命令的目的。SQL注入是一种严重影响数据库数据安全的恶意攻击。DB 防火墙功能不仅可以在线识别和记录 SQL 注入行为,向用户发送短信及邮件报警,还可以帮助用户控制是否阻断这些访问行为,提升 云数据库 RDS 的数据安全性。

    百度智能云支持用户在代理实例上开启 DB 防火墙功能,并提供 SQL 注入审计。

    DB 防火墙功能启用流程

    DB 防火墙功能启用流程如下:

    1. 创建代理实例
    2. 开通代理实例公网 IP,并测试代理实例连通性
    3. 创建代理实例帐号并设置密码
    4. 开启 DB 防火墙并选择安全模式
    5. 将业务程序中原有的数据库主实例域名或 IP、帐号与密码替换为代理实例的域名或 IP、帐号与密码

    其中步骤1到步骤3的操作详情参考使用代理实例

    操作步骤

    1. 在实例的“安全”页面选择“ DB 防火墙”页签,进行 DB 防火墙设置,如果为主实例则需要进入对应的代理实例进行设置,在代理实例的“安全”页签点击“编辑”按钮管理 DB 防火墙功能。

    image.png

    说明

    1. DB 防火墙开启后,会增加防御 SQL 注入等能力,SQL响应时间影响较小,每条 SQL 增加0.1毫秒延时。
    2. 开启之后用户可以选择具体安全模式:

      • 告警:识别注入并写入审计,不阻断 SQL 执行;
      • 阻断:识别注入并写入审计,阻断 SQL 执行。
    1. 开启 DB 防火墙功能后,用户可以通过 SQL 注入审计页面查看发生了 SQL 注入的行为统计,并能以时间、数据库、帐号等维度进行分类。

      说明:确认非 SQL 注入的语句可以点击操作列的“添加到 SQL 白名单”中。添加到 SQL 白名单对非 SQL 注入进行放行。

    SQL 注入报警

    SQL 注入报警的通知策略:

    汇总 5 分钟注入详情向用户发送报警邮件与短信,如无注入则不发送; 只要您开通了 DB 防火墙功能,无论您选择拦截模式还是告警模式,当发生 SQL 注入时,您都将收到 SQL 注入报警通知。

    SQL 注入报警的内容示例:

    您的 云数据库 RDS 实例 rdsproxy/rdsplrg92w5cmac 上发现 SQL 入侵5条,未拦截。 为了保证您的数据安全,请前往“百度智能云->云数据库 RDS ->代理实例->安全-> DB 防火墙”中查看详细注入信息,感谢支持!

    SQL 注入报警的订阅与退订:

    SQL注入报警订阅状况可在消息中心->消息接收设置->安全消息->报警、恢复通知中查看,并添加消息接收人。因为 SQL 注入对数据库安全影响重大,所以系统默认以邮件及短信方式发送通知且不允许退订。

    上一篇
    白名单管理
    下一篇
    SSL加密