徐老师写的这篇文章《MySQL防火墙》给我们介绍MySQL防火墙功能，之前了解很少，学习借鉴一下。

简介

MySQL的防火墙是应用程序级别的防火墙，通过插件实现，包含在企业版中，它可以允许/拒绝每个注册账户的SQL语句执行。防火墙包含四种模式，“RECORDING”、“PROTECTING”、“DETECTING”，及“OFF”。

防火墙功能由三个插件提供功能，分别是MYSQL_FIREWALL、MYSQL_FIREWALL_USERS，及MYSQL_FIREWALL_WHRITELIST，它们包含在"firewall.so"中，该文件保存在"lib/plugin"路径下面。三个插件分别用于校验缓存中的SQL语句，及实现包含缓存信息的INFROMATION_SCHEMA中的表。

此外，防火墙功能还包含一系列组件：

• “sp_set_firewall_mode()”存储过程用于设定防火墙的模式。
• mysql系统库中还包含“firewall_users”表，及“firewall_whitelist”表，用于保存注册用户及SQL语句的白名单。
• 内部使用的函数，包括“set_firewall_mode()”、“normalize_statement()”、“read_firewall_whitelist()”，“read_firewall_users()”。

安装

安装防火墙时，根据操作系统的不同，选择安装脚本“linux_install_firewall.sql”或“win_install_firewall.sql”。安装脚本将进行安装防火墙插件、创建配置防火墙的存储过程及系统表等工作。

注册用户

注册一个用户并设置它的初始防火墙模式。用户的格式为完整的“user@host”，防火墙的初始模式包含“OFF”,及“RECORDING”。通过调用存储过程来设置：

CALL mysql.sp_set_friewall_mode('user'@'host','OFF')

注意，防火墙的初始模式不能设置为“PROTECTING”，此时白名单为空，将无法执行SQL语句。

训练防火墙

• 使用“RECORDING”模式注册用户
• 防火墙为每个注册用户创建规范化的摘要语句，并将其缓存
• 切换防火墙的模式为“PROTECTING”或“OFF”保存白名单。

注意，如果在“RECORDING”模式下重启mysql服务器，重启后防火墙将不会保存任何白名单内容，因此需要切换为“PROTECTING”或“OFF”保存白名单的内容。当用户希望再次修改白名单的内容时，需要将模式改为“RECORDING”，此时白名单中之前的内容不会消失。

摘要语句

白名单中的SQL语句使用摘要语句保存，摘要语句将压缩空格、删除注释，用占位符替换文字的值，因此用户无需担心应用程序传递过来不同的变量值对SQL语句执行的影响。

开启/关闭防火墙

开启/关闭防火墙通过调用存储过程“sp_set_firewall_mode”实现，例如：

CALL mysql.sp_set_firewall_mode('user@host','PROTECTING')
CALL mysql.sp_set_firewall_mode('user@host','OFF')

防火墙开启后，白名单中存在的语句将允许正常执行，如果白名单中不存在该语句，则该SQL语句被阻挡并返回错误，并在错误日志中记录相关信息。如果管理员希望重置白名单，可以使用如下语句：

CALL mysql.sp_set_firewall_mode('user@host','RESET')

监视防火墙

防火墙的使用状态可以通过状态变量进行监测，状态变量包括“Firewall_access_denied ”、“Firewall_access_granted”、“Firewall_access_suspicious”，及“Firewall_cached_entries”。通过执行“SHOW GLOBAL STATUS LIKE 'Firewall%';”语句可以观察到，拒绝执行的SQL语句数量等状态。例如，

mysql> SHOW GLOBAL STATUS LIKE 'Firewall%';
+----------------------------+-------+
| Variable_name              | Value |
+----------------------------+-------+
| Firewall_access_denied     | 3     |
| Firewall_access_granted    | 4     |
| Firewall_access_suspicious | 1     |
| Firewall_cached_entries    | 4     |
+----------------------------+-------+

如果您认为这篇文章有些帮助，还请不吝点下文章末尾的"点赞"