防火墙——将保护您免受任何软件中至少50%的所有类型的***。MySQL在企业版里为用户提供了防火墙功能。
MySQL的防火墙提供应用级别的防护,数据库管理员可以通过防火墙允许或拒绝SQL文的执行。通过它可以防止SQL注入***以及非法利用数据库。
MySQL的防火墙是基于每个用户的白名单(白名单记录的是摘要语句,用户可以自定义长度)实现,每个用户的防火墙模式有三种,记录、保护和检测模式。工作流程可以参考下图:
当服务器接收到客户端的SQL语句之后,经过解析器标识到达防火墙。防火墙会基于用户采用的模式进行判断,如果未开启防火墙将进入执行SQL阶段。如果开启了防火墙的记录模式,防火墙会将这些SQL语句存储到白名单。如果是其它模式,防火墙将会与白名单内容进行匹配,如果SQL语句不匹配,将会发送警告至错误日志,如果开启的是保护模式,则阻挡该SQL语句执行。
MySQL的防火墙主要由以下几个组件构成:
服务器端名为MYSQL_FIREWALL 的插件:该插件主要负责校验SQL语句是否与白名单匹配。
MYSQL_FIREWALL_USERS 和 MYSQL_FIREWALL_WHITELIST 视图:用于缓存防护墙的白名单和用户数据。
firewall_users 和 firewall_whitelist系统表:位于mysql系统数据库,用于存放防火墙的白名单和用户数据。
- sp_set_firewall_mode() 和 sp_reload_firewall_rules():两个存储过程用于设置防火墙的模式和加载防火墙规则。
防火墙的安装过程非常简单,可以通过MySQL WorkBench进行安装,也可以手动进行安装,安装过程在这里不进行详述,可以访问官网手册:“https://dev.mysql.com/doc/refman/8.0/en/firewall-installation.html”。
MySQL防火墙的使用方法也非常简单,在这里举一个简单的例子进行说明。防火墙除了可以防止遭受注入***等安全事件,还可以利用它对SQL语句的执行进行规范和限制,例如,删除或更新语句不加上where条件等等。
安装好防火墙之后,默认是开启的,可以通过下面语句确认:
mysql> SHOW GLOBAL VARIABLES LIKE 'mysql_firewall_mode';之后,可以对用户开启记录模式:
开启记录模式之后,可以对白名单进行训练,使应用程序的完整遍历周期里用到的SQL语句保存至白名单。在这里以delete语句为例:
记录之后,可以查看一下白名单的内容:
可以看到白名单里面记录了一条带有where条件的delete语句,接下来我们开启保护模式,并执行一下不带where条件的delete语句:
可以看到,未加where条件的delete语句被防火墙阻挡。
管理员可以通过show status语句查看防火墙的状态和阻挡语句的数量:
上面是一个小小的示例,你可以尝试更多的使用方法,以保证MySQL的安全。