首先我被感動(dòng)的是項(xiàng)目的名稱GreenSQL，人的名樹(shù)的影，聽(tīng)起來(lái)就是不一樣，非常的清爽。不僅是名稱，上面的log設(shè)計(jì)也非常可愛(ài)，一個(gè)拿著板斧的綠色的小犀牛，在保護(hù)你的DB系統(tǒng)。

該產(chǎn)品是開(kāi)源產(chǎn)品，目的也是僅僅保護(hù)開(kāi)源的數(shù)據(jù)庫(kù)系統(tǒng)MYSQL和PostgreSQL免遭SQL injection攻擊。系統(tǒng)工作在Proxy模式。可以運(yùn)行于多個(gè)Linux發(fā)行套件以及FreeBSD之上。對(duì)于PostgreSQL而言GreenSQL也是僅有的保護(hù)方案。對(duì)于SQL Injection不懂的可以Google一下，現(xiàn)在非常流行，我們隔三差五會(huì)聽(tīng)到，某某公司泄露了多少多少的客戶信息，其中就有SQL Injection的功勞。而且最近剛剛出了一個(gè)書(shū)，專門(mén)寫(xiě)SQL Injection。我托同事從美國(guó)買(mǎi)了一本回來(lái)，啃了兩天，就這么一個(gè)東西絮絮叨叨寫(xiě)了4,500頁(yè)，真是暈菜。不過(guò)我還是佩服老美的鉆研精神，寫(xiě)的很細(xì)致。

GreenSQL迄今還是活躍的，最新的版本1.2是09年12月剛release的版本。看了幾個(gè)版本的release notes，feature沒(méi)有什么變化，基本都是可用性的修改，redesign，bug fix等等。

下圖為網(wǎng)絡(luò)部署圖。

該產(chǎn)品可以運(yùn)行于下述模式：

1.Simulation Mode (database IDS)

是Silent模式，類(lèi)似于IDS系統(tǒng)，僅僅對(duì)于可疑事件進(jìn)行Log。

2.Blocking Suspicious Commands (database IPS)

類(lèi)似于IPS系統(tǒng)，GreenSQL將利用其“啟發(fā)式”引擎檢測(cè)以及阻塞非法的查詢。其阻塞的Action同IPS看起來(lái)很不同，不是中斷連接，而是僅僅返回空的結(jié)果集，這樣用戶無(wú)法察覺(jué)其存在，行為也更加graceful。

3.Learning mode

在該模式下，GreenSQL學(xué)習(xí)查詢信息，并自動(dòng)加入到白名單（筆者注：這個(gè)過(guò)程應(yīng)該是離線的，否則沒(méi)有意義了）。在learn了足夠多的東西后，可以將系統(tǒng)配置為下面的模式4.

4.Active protection from unknown queries (db firewall)

利用從模式3學(xué)到的白名單作為基礎(chǔ)，采用“啟發(fā)式”（這個(gè)詞聽(tīng)得我耳朵都磨出繭子了，大家都說(shuō)自己的引擎是啟發(fā)式的）引擎，進(jìn)行下一步的DB IPS的工作。

其引擎基本實(shí)現(xiàn)如下：

1.模式匹配

GreenSQL uses a pattern matching engine to find commands that are considered “illegal”. In essence, this is a signature-based subsystem. For example, the following commands are considered “illegal”: database administrative commands; commands that try to change a db structure; and commands used to access system files.

2.根據(jù)幾個(gè)的因素，計(jì)算Risk

GreenSQL calculates each query’s risk. Essentially, this is an anomaly detection subsystem. After the risk is calculated, GreenSQL can block the query or just create a warning message (this depends on the application mode). There are a number of heuristics GreenSQL uses when calculating risk. For example, query risk is increased by:

* Access to sensitive tables (users, accounts, credit information)
* Comments inside SQL commands
* An empty password string
* An ‘or’ token inside a query
* An SQL expression that always returns true (SQL tautology)

In order to find anomalies, GreenSQL uses its own SQL language lexer to find SQL tokens.

最后看看管理Web界面，先不說(shuō)功能如何，我的感受是心中充滿陽(yáng)光，項(xiàng)目的發(fā)起人審美觀念非常好：

現(xiàn)在SQL Injection的防范已經(jīng)是WAF的基本配置了，為什么會(huì)有這個(gè)東東專門(mén)防范SQL Injection。筆者認(rèn)為原因如下：（本想畫(huà)一張圖給大家看看，但是太晚了，我又是急性子，發(fā)了再睡覺(jué)）：

1.Web Server位于HTTP層

2.后面的App server位于App層

3.后面的DB Server位于SQL層

1的層次最低，2的層次最高，3的層次勉強(qiáng)可以說(shuō)比1高一點(diǎn)點(diǎn)，比3第一點(diǎn)點(diǎn)。因此要想徹底根除SQL Injection要在3保證保證應(yīng)用層程序員的code沒(méi)有問(wèn)題，才能完全保證SQL Injection的消失，但這不可能。在1防范可能不很精確，在3能可以從某個(gè)程度說(shuō)是一個(gè)很好的補(bǔ)充，當(dāng)然也無(wú)法完全解決問(wèn)題，畢竟還低那么一點(diǎn)點(diǎn)。是不是有點(diǎn)唐僧啊。

總之累了該回家了，一家之言，敬請(qǐng)拍磚。

——51CTO王文文：看完整個(gè)介紹，感覺(jué)到以后IPS/IDS再繼續(xù)發(fā)展下去，肯定會(huì)分的越來(lái)越細(xì)。像這類(lèi)即可以當(dāng)審計(jì)工具又可以做數(shù)據(jù)庫(kù)保護(hù)的好東西，非常適合那些存放敏感數(shù)據(jù)的公司或單位。唯一要注意的可能也就是誤報(bào)，當(dāng)然，這個(gè)可以通過(guò)和開(kāi)發(fā)人員的協(xié)調(diào)來(lái)解決。

【編輯推薦】

1. GreenSQL助力防止SQL注入攻擊
2. 數(shù)據(jù)庫(kù)開(kāi)源市場(chǎng)成熱點(diǎn) IBM拒絕甲骨文Linux戰(zhàn)略
3. 華為3Com建設(shè)中國(guó)民用航空飛行學(xué)院網(wǎng)絡(luò)安全項(xiàng)目