一种基于WFP的对数据库高危命令实时授权的方法

文献发布时间：2023-06-19 10:19:37

技术领域

本发明涉及网络信息安全技术领域，尤其涉及一种基于WFP的对数据库高危命令实时授权的方法。

背景技术

目前数据库堡垒机或防火墙对高危数据库命令的访问控制通常是异步的模式，即系统读取权限配置，如果没有权限，便阻断当前会话流量，用户通过另外一条通道进行访问权限的授权，获取相应的授权后，通过一定的方式通知系统该用户已经通过了授权，系统放行该会话，由此完成整改审批流程。该方式访问与授权不在同一个通道上，并且需要相应的管理员进行审批，流程较为繁琐复杂。

发明内容

本发明的目的在于提供一种基于WFP的对数据库高危命令实时授权的方法。

本发明采用的技术方案是：

一种基于WFP的对数据库高危命令实时授权的方法，其包括以下步骤：

步骤1，通过在远程桌面服务器上面安装访问控制客户端；

步骤2，加载WFP驱动拦截数据库流量到审计服务端，并在流量上打上相应的账号信息，

步骤3，流量到达审计服务端后，解析账号信息，查询是否有相应的权限；当是被禁止的高危命令，则直接阻断流量并结束；当是需要授权访问的高危命令，则将流量暂时挂起并通知管理员审批，

步骤4，管理员审批决定是否授权；是则，管理员下发授权码通知用户；否则，直接阻断流量并结束

步骤5，用户在访问控制客户端填入授权码，控制服务器放行该访问控制客户端的流量。

进一步地，作为一种优选实施方式，访问控制客户端根据流量内容的不同分别通过与数据流量通道和访问控制通道与审计服务端通信。

进一步地，作为一种优选实施方式，访问控制通道用于客户端与审计服务端用于访问控制策略交互、实时的进行授权交互通信、下发及验证授权码并返回授权状态

进一步地，作为一种优选实施方式，数据流量通道选用5050端口。

进一步地，作为一种优选实施方式，访问控制通道选用5051端口，

进一步地，作为一种优选实施方式，步骤4中管理员通过短信下发授权码。

本发明采用以上技术方案，通过在远程桌面服务器上面安装访问控制客户端。并加载WFP驱动，拦截数据库流量到审计服务端，并在流量上打上相应的账号信息，流量到达审计服务端后，解析账号信息，查询是否有相应的权限，如果是被禁止的高危命令，直接阻断流量，如果是需要授权访问的高危命令，则将流量暂时挂起，并通知管理员审批，管理员通过短信下发授权码通知用户，用户在访问控制客户端填入授权码，流量即可放行。wfp驱动可以在底层改变用户访问流量的实际ip地址，从而将数据库流量转发到审计服务器进行控制，并通过在堡垒机安装访问控制客户端，与审计服务端相互配合，可以优化数据库授权访问的流程，提高堡垒机对数据库访问控制功能的使用感知。

附图说明

以下结合附图和具体实施方式对本发明做进一步详细说明；

图1为本发明一种基于WFP的对数据库高危命令实时授权的方法流程示意图；

图2为本发明一种基于WFP的对数据库高危命令实时授权的方法的具体原理示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图对本申请实施例中的技术方案进行清楚、完整地描述。

如图1或图2所示，本发明公开了一种基于WFP的对数据库高危命令实时授权的方法，其包括以下步骤：