产品说明
产品概览
DBNginx 是部署在业务系统、运维工具、报表平台与数据库之间的数据访问网关,用统一入口承接访问认证、SQL 防火墙、SQL 重写、数据脱敏、数据水印、水印回溯、透明加解密、数据审计和上游路由。
把原本散落在应用代码、数据库账号、安全设备和审计平台里的控制点,收敛到同一条可解释、可灰度、可回滚的访问链路。
统一入口
业务系统、DBA 工具、BI 报表和共享查询都从 DBNginx 进入数据库。
链式治理
认证、路由、防火墙、重写、脱敏、水印回溯、国密和审计按策略顺序执行。
可解释审计
每次访问都能说明主体、资源、命中策略、处置动作、水印线索和最终结果。
完整在线文档
稳定版在线文档覆盖概览、场景、操作指南和参考手册,适合官网阅读、链接分享和后续多语言派生。阅读文档
版本边界
交付版本
| 版本 | 适用目标 | 能力边界 |
|---|---|---|
| 体验版(MySQL) | 快速验证 MySQL 访问治理闭环 | 统一入口、权限、防火墙、重写、脱敏、水印回溯、国密、审计、热加载与回滚。 |
| 企业版 | 生产级多数据库统一接入与治理 | 按交付范围覆盖国产数据库、全球主流数据库、云上数据库、本地集中式和本地分布式数据库。 |
兼容范围
数据库兼容性
企业版按协议族和厂商适配范围交付,体验版(MySQL)先聚焦 MySQL 场景验证。
国产数据库
达梦、人大金仓、瀚高、GBase8a、GBase8c、GBase8s、OceanBase、GaussDB、星环、崖山、高斯等。
开源与商业数据库
MySQL、PGSQL、Oracle、SQL Server、MariaDB、TiDB、TDSQL、ClickHouse 等。
云上与分布式
OceanBase、TiDB、TDSQL、PolarDB、云数据库、云数仓、分布式 SQL、本地集中式、本地分布式和多节点分析集群。
快速验证
快速开始
快速开始聚焦真实业务链路,重点是让业务团队和实施团队完成一个可验收的治理闭环。
- 选择验证场景从生产库访问、数据库共享、数据审计、安全防护、租户隔离或读写分离中选择一个。
- 准备接入信息整理业务系统、数据库地址、测试账号、访问来源、敏感字段清单和审计负责人。
- 开通访问入口由实施团队完成接入,业务侧使用约定入口验证连接、权限、脱敏和审计结果。
- 确认验收口径明确允许、拒绝、重写、脱敏、水印、回溯、国密和审计事件的预期结果。
场景落地
场景手册
数据库共享访问
数据库侧保留少量托管账号,用户侧按身份、角色、时间窗口、资源范围和失效时间细粒度授权。
数据水印与泄露回溯
面向报表导出、共享取数、客服截图和合作交付,将水印 key、trace id、主体和资源绑定,外泄后可回溯责任人。
数据审计
记录主体、来源、资源、SQL 语义、敏感命中、策略决策、输出控制和执行结果。
数据库安全防护
结合确定性规则、启发式 SQL 攻击识别和模型自动识别,发现注入、越权、拖库和未知变形攻击。
透明加解密零代码改造
业务系统保持原访问习惯,由网关侧完成透明加解密、密码卡/密码机调用、搜索改写、脱敏输出和审计。
国密基础设施对接
对接主流密码卡、密码机、HSM、KMS 和三未信安、渔翁信息等生态,将密钥引用、设备调用和审计事件统一管理。
链路动态扩展
在链路扩展点补充业务上下文、轻量规则、路由标签和审计字段,适合客户现场差异化策略,不替代核心策略引擎。
读写分离与分流
将写入、查询、报表、批处理和共享访问流量分配到不同上游资源,降低核心库压力。
国产数据库统一入口
在国产数据库替换、多数据库并存和混合云场景中统一认证、策略、安全和审计口径。
配置对象
配置参考
配置参考按治理对象组织,便于实施团队拆分文件、评审变更和做版本化管理。
入口与上游
定义监听入口、默认业务库、上游数据库、连接池、读写分离和故障切换。
认证与权限
定义用户、角色、来源地址、业务系统、资源范围、有效期和审批上下文。
SQL 防火墙
定义高危语句、异常访问、注入特征、启发式标签、模型识别结果和处置动作。
SQL 重写
定义租户过滤、列裁剪、分页限制、路由改写和搜索条件改写。
脱敏、水印与回溯
定义敏感字段目录、角色可见性、输出脱敏、导出水印、水印 key 和 trace 关联。
透明加解密
定义透明加解密策略、解密权限、密钥引用、搜索改写、密码设备调用和审计事件。
密码设备
定义密码卡、密码机、HSM、KMS、厂商设备连接、密钥别名、调用策略、超时和失败处置。
链路动态扩展
定义扩展入口、输入上下文、超时限制、失败策略、灰度范围、审计输出和回滚版本。
数据审计
定义审计事件字段、保存周期、查询索引、导出范围和安全运营平台对接。
发布与回滚
定义校验规则、发布窗口、灰度策略、回滚版本和负责人记录。
运行维护
运维排障
| 问题 | 观察项 | 处理建议 |
|---|---|---|
| 访问被拒绝 | 主体、角色、来源、资源、命中策略 | 查看策略解释,确认是权限缺失、时间窗口过期还是高危策略生效。 |
| 疑似 SQL 攻击 | 规则命中、启发式标签、模型识别结果、风险分 | 先进入只审计或审批,再按风险等级启用拒绝、限流和告警。 |
| 共享查询压库 | 用户、SQL 类型、资源池、执行耗时 | 收紧共享授权范围,将高消耗查询分流到只读库、报表库或分析集群。 |
| 发现外泄水印 | 水印 key、trace id、导出人、访问资源 | 通过审计 trace 回溯主体、来源、策略命中、输出动作和责任链路。 |
| 链路动态扩展异常 | 扩展版本、超时、返回结果、审计字段、灰度范围 | 先切回默认策略或上一版本扩展配置,保留审计事件,再检查输入上下文和失败策略。 |
| 审计事件缺失 | 审计目录、写入权限、轮转状态、事件队列 | 检查审计写入权限和轮转配置,必要时切换到备用审计路径。 |
| 配置发布异常 | 校验结果、版本号、最近变更人 | 阻断发布,修正引用关系或回滚上一份可用配置。 |
管理接口
API 参考
| 类别 | 接口 | 用途 |
|---|---|---|
| 健康检查 | /health /ready | 用于负载均衡、发布探针和运行状态检查。 |
| 运行状态 | /stats /upstreams | 查看连接、请求、拒绝、延迟和上游状态。 |
| 策略解释 | /explain/policy | 解释一次访问为什么允许、拒绝、重写、脱敏、水印、回溯、加密或审计。 |
| 审计查询 | /audit/events | 按主体、资源、动作、风险识别、时间和结果查询审计事件。 |
| 审计追踪 | /audit/traces/{trace_id} | 聚合一次访问的认证、策略、敏感命中、水印标识、结果动作和回溯证据。 |
| 配置生命周期 | /reload/validate /reload /rollback | 执行配置校验、发布和回滚。 |
验收口径
上线验收
连接验收
业务系统、运维工具和报表工具都通过 DBNginx 连接,直连入口已收敛。
权限验收
授权用户能访问,未授权用户被拒绝,拒绝原因可解释。
安全验收
高危 SQL、异常访问和疑似攻击能被识别、处置并形成审计事件。
敏感验收
手机号、证件号、合同、余额等字段按角色脱敏、水印、拒绝或透明加密。
水印回溯验收
同一份报表由不同主体导出后可区分水印,外泄样本可回到 trace、主体和访问资源。
链路动态扩展验收
扩展逻辑可灰度、可超时、可回滚,输入输出写入审计事件且不绕开主策略链。
审计验收
每次访问包含主体、资源、动作、风险识别、策略决策、输出控制和结果。
回滚验收
配置异常可阻断发布,生产异常可回退上一份可用配置。
常见问题
常见问题
体验版(MySQL)适合验证什么?
适合验证统一入口、权限收敛、敏感字段保护、访问审计、安全防护和配置发布流程。
企业版是否支持全系数据库?
企业版按交付范围覆盖国产数据库、全球主流数据库、云上数据库、本地集中式和本地分布式数据库。
水印如何回溯责任人?
先提取外泄样本中的可见或隐式水印线索,再按水印 key 或 trace id 查询审计事件,回到访问主体、来源、资源、策略版本和输出动作。
数据库共享访问是否需要给每个用户建数据库账号?
不建议。更适合由 DBNginx 承接业务身份和访问上下文,数据库侧保留少量托管账号,用户侧按角色、时间窗口和资源范围细粒度授权。
上线时是否需要业务系统大改?
通常先从连接地址、账号和入口收敛开始,核心治理策略在 DBNginx 配置中逐步启用。