数据库防火墙技术是针对关系型数据库保护需求应运而生的一种数据库安全主动防御技术，数据库防火墙部署于应用服务器和数据库之间。用户必须通过该系统才能对数据库进行访问或管理。数据库防火墙所采用的主动防御技术能够主动实时监控、识别、告警、阻挡绕过企业网络边界(FireWall、IDS\IPS等)防护的外部数据攻击、来自于内部的高权限用户(DBA、开发人员、第三方外包服务提供商)的数据窃取、破坏、损坏的等，从数据库SQL语句精细化控制的技术层面，提供一种主动安全防御措施，并且，结合独立于数据库的安全访问控制规则，帮助用户应对来自内部和外部的数据安全威胁。

屏蔽直接访问数据库的通道:数据库防火墙部署介于数据库服务器和应用服务器之间，屏蔽直接访问的通道，防止数据库隐通道对数据库的攻击。二次认证:基于独创的"连接六元组【机器指纹(不可伪造)、IP地址、MAC地址、用户、应用程序、时间段】"授权单位，应用程序对数据库的访问，必须经过数据库防火墙和数据库自身两层身份认证。攻击保护:实时检测用户对数据库进行的SQL注入和缓冲区溢出攻击。并报警或者阻止攻击行为，同时详细的审计下攻击操作发生的时间、来源IP、登录数据库的用户名、攻击代码等详细信息。连接监控:实时的监控所有到数据库的连接信息、操作数、违规数等。管理员可以断开指定的连接。安全审计:系统能够审计对数据库服务器的访问情况。包括用户名、程序名、IP地址、请求的数据库、连接建立的时间、连接断开的时间、通信量大小、执行结果等等信息。并提供灵活的回放日志查询分析功能，并可以生存报表。审计探针:本系统在作为数据库防火墙的同时，还可以作为数据库审计系统的数据获取引擎，将通信内容发送到审计系统中。细粒度权限控制:按照SQL操作类型包括Select、Insert、Update、Delete,对象拥有者，及基于表、视图对象、列进行权限控制精准SQL语法分析:高性能SQL语义分析引擎，对数据库的SQL语句操作，进行实时捕获、识别、分类自动SQL学习:基于自学习机制的风险管控模型，主动监控数据库活动，防止未授权的数据库访问、SQL注入、权限或角色升级，以及对敏感数据的非法访问等。透明部署:无须改变网络结构、应用部署、应用程序内部逻辑、前端用户习惯等

支持桥接、网关和混合接入方式基于硬件的BYPASS能力，防止单点失效多线程技术和缓存技术，支持高并发连接配置管理采用浏览器界面，方便学习和使用现有应用程序与透明数据库防火墙之间可以无缝连接，部署和配置过程简单可以灵活的对每个应用程序的访问权限进行配置，可以选择全部放行、到数据库级别、模式级别、表级别、字段级别的权限控制支持基于安全等级标记的访问控制策略可以选择违规响应策略，审计、拒绝访问可以配置审计的内容，对于违规等重要的事件，系统进行强制审计。用户也可以选择对常规操作进行审计先进的查询功能，并可以使用多个查询条件，包括时间、IP、用户名、风险等级等支持双机热备功能，保障连续服务能力

DBFirewall支持两种串联模式:

透明网桥模式:在网络上物理串联接入DBFirewall设备，所

有用户访问的网络流量都串联流经设备;通过透明网桥技术，客户端看到的数据库地址不变。

代理接入模式:网络上并联接入DBFirewall设备，客户端逻辑连接防火墙设备地址，防火墙设备转发流量到数据库服务器;通过代理接入模式，网络拓扑结构不变。

旁路部署模式

DBFirewall设备不直接接入网络，而是通过TAP、SPAN等技术将网络流量映射到防火墙设备;通过旁路部署模式既不改变网络拓扑，也不在应用链路上增加新的设备点。