我们的网络安全系统中已有了Web利用防火墙、网络防火墙和IPS，难道还需要数据库审计吗？”很多人有这样的疑问，网络中有层层防护，还不能保护数据库的安全吗？是的，由于区别的安全防护系统针对的关键风险区别。

防火墙

网络防火墙（Firewall）是基于预定安全规则来监视和控制传入和传出网络流量的网络安全系统，正如小区中的岗亭，人员、车辆进出都需要经过岗亭的检查，计算机流入流出的所有网络通讯均要经过网络防火墙。网络防火墙对流经它的网络通讯信息进行扫描，避免一些攻击行动在目标计算机上被履行。

网络防火墙作为访问控制装备，主要工作在OSI模型三层，基于IP报文进行检测，通常根据IP、端口信息及协议类型做过滤。其产品设计无需理解HTTP会话，也就决定了没法理解Web利用程序语言如HTML、SQL语言。

因此，它不可能对HTTP通讯进行输入验证或攻击规则分析。针对Web网站的歹意攻击绝大部份都将封装为HTTP要求，从80或443端口顺利通过防火墙检测。

网络防火墙是基于边界防护，同时由于Web服务的开放性，网络防火墙对基于Web和内部的攻击缺少免疫。

入侵防御系统

入侵防御系统（以下简称“IPS”）也是为避免网络攻击而设计的。一般来讲，IPS系统检测攻击的方法是依托对数据包的检测。

IPS将检查入网的数据包，肯定这类数据包的真正用处，然后决定会不会允许这类数据包进入你的网络。这就像寄存贵重物品的场所，如博物馆中，安装的红外感应防御装置，在红外线辨认到有人入侵时能够及时做出防御。

IPS采取的是特点匹配技术、使用“允许除非明确否认”模式，其防护对象是一段网络、和网络中通用的装备或系统而不是特定的Web利用。

IPS更多是针对攻击行动的辨认与防御，而数据库数据泄漏的风险常常是来自于内部人员，如合法权限的滥用或高级权限的背规使用。IPS没法对这类风险进行辨认，也就没法对数据库的安全进行全面的防护。

Web利用防火墙

从对Firewall的介绍可以看出来，传统的防火墙对利用层的攻击是没法进行有效抵抗的；而IPS对避免利用层攻击能起到一部份作用，却没法从根本上防护利用层的攻击。因此出现了保护Web利用安全的Web利用防火墙系统（以下简称“WAF”）。

WAF是一种基础的安全保护模块，通过特点提取和分块检索技术进行特点匹配，主要针对 HTTP 访问的 Web 程序保护。WAF部署在Web利用程序前面，在用户要求到达 Web 服务器前对用户要求进行扫描和过滤，分析并校验每一个用户要求的网络包，确保每一个用户要求有效且安全，对无效或有攻击行动的要求进行阻断或隔离。

WAF现在已成为许多商业 Web 网站与系统的基本保护措施，它的确在防范许多针对Web系统的安全攻击方面卓有成效；但WAF只监控通过HTTP方式来的数据，而数据库的访问源头却多种多样，如以下几种数据库访问方式：

1、组织内其他利用系统能访问数据库：比如在电子商务系统里，价格和库存可能会用一些自动化的脚本来定时更新。

2、一些内部管理程序可以访问系统，也多是一些接口，方便雇员添加信息或发送信息给客户。

3、还有就是数据库 DBA，IT 经理，QA，开发人员等等内部人员通过数据库管理工具可以访问数据库。

这些潜伏的数据库访问源头WAF是绝不知情的，但是来自内部的攻击则更可怕。

从网络防火墙到入侵防御系统再到Web利用防火墙，当我们给网络穿上一层又一层的防护衣时，不能不重视，网络攻击愈来愈深入。当数据的价值愈来愈高，数据库成为“攻击”目标时，网络防火墙、IPS、WAF的防护变得有些捉襟见肘。

数据库审计系统可对数据的访问操作行动做一个完全的记录，以备违背安全规则的事件产生后，能有效的清查责任和分析缘由，必要时还可以为惩罚歹意攻击行动提供必要的证据。

另外一方面，实行审计准则以后，审计线索会指出特定人员没有违背规程，也没有破坏性行动，对合法用户是一种良好的保护。

从信息安全的角度上看，审计是安全的数据库系统不可缺少的一部份，也是数据库的最后一道重要的安全防线。

数据库暴露的访问点多种多样，网络安全工作是一场旅程，起始于关键风险和重要资产的辨认，再在技术、流程和人员管理之间找到正确的组合。

因此，面对区别的网络安全风险，需要区别的技术手段加以防护，在数据价值日趋增加的现在，数据库审计系统的作用逐步突显。