什么是数据库防火墙？与传统Web防火墙的区别是什么？

先来说说数据库防火墙是什么？数据库防火墙是基于主动防御机制，去实现对数据库访问行为进行权限管控、恶意及危险操作进行阻断或者拦截、可疑行为的审计。数据库防火墙可以通过SQL协议分析，根据预定的白名单、黑名单策略决定让合法的SQL操作通过执行，让可疑的非法操作禁止，从而形成一个数据库的外围防御圈。
数据库防火墙与传统的防火墙的区别是什么？区别那可大有不同，首先数据库防火墙与传统的防火墙部署位置就不同，数据库防火墙部署在数据库服务器前端；传统防火墙部署在网络边界；数据库防火墙是数据库流量sql语句，传统防火墙解决网络流量；数据库防火墙是数据库协议防护，传统防火墙是2-7层网络协议防护，防护对象都不一样；数据库防火墙是基于网络和数据库协议分析与控制技术实现对数据库的访问控制，能做到的防护，如有效防止批量下载导致数据泄露，恶意篡改数据等，传统防火墙、IPS、waf等识别的是网络层协议。
安华金和数据库防火墙目前做的不错，可以找他们沟通下，他家数据库防火墙是国内首款。

数据库防火墙，从防火墙这个词可以看出，其主要作用是做来自于外部的危险隔离。换句话说，数据库防火墙应该在入侵在到达数据库之前将其阻断，至少需要在入侵过程中将其阻断。
Web防火墙作用在浏览器和应用程序之间，使他只能够看得见用户提交的相关信息，而用户提交信息往往只是数据库SQL语句的一个碎片，缺乏对于数据库SQL的全局认知，更加不用说SQL语句的上下文关系了。Web防火墙只能做一些基于常规异常特征以及出现过的特征进行识别和过滤。

数据库防火墙作用在应用服务器和数据库服务器之间，看到的是经过了复杂的业务逻辑处理之后最后生成的完整SQL语句，也就是说是攻击者的最终表现形态，已经撕去了大量的伪装。由于看到的是缺乏变化的最终形态，使数据库防火墙可以比较Web防火墙采用更加积极的防御策略，比如守白知黑策略进行异常SQL行为检测，100％防御SQL注入攻击。即使简单采用和Web防火墙类似的黑名单策略，由于看到的信息使完整的最终信息，使其防御难度比较Web防火墙大幅度下降，防御效果自然会更好。