MySQL企业防火墙表

MySQL企业防火墙维护帐户和白名单信息。它使用mysql系统数据库中的INFORMATION_SCHEMA表以持久形式存储此数据，并使用 表提供对缓存数据的视图。启用后，防火墙会将其操作决策基于缓存的数据。

mysql只有具有该数据库特权的用户才能访问 这些表。INFORMATION_SCHEMA任何人都可以访问该 表。

该mysql.firewall_users表列出了已注册的防火墙帐户及其操作模式。该表具有以下列(相应的 INFORMATION_SCHEMA.MYSQL_FIREWALL_USERS 表具有相似但不一定相同的列)：

USERHOST

在防火墙上注册的帐户。每个帐户具有格式， 并代表服务器认证的实际用户名和主机名。注册用户时，不应使用模式和网络掩码。 user_name@host_name

MODE

该帐户当前的防火墙操作模式。允许的模式值OFF， DETECTING， PROTECTING， RECORDING，和 RESET。有关其含义的详细信息，请参阅的说明 sp_set_firewall_mode()在 MySQL企业防火墙程序和功能。

该mysql.firewall_whitelist表列出了已注册的防火墙帐户及其白名单。该表具有以下列(相应的 INFORMATION_SCHEMA.MYSQL_FIREWALL_WHITELIST 表具有相似但不一定相同的列)：

USERHOST

在防火墙上注册的帐户。格式与用户帐户表的格式相同。

RULE

指示帐户可接受的对帐单格式的规范化对帐单。帐户白名单是其规则的并集。

ID

一个整数列，它是表的主键。该列是在MySQL 8.0.12中添加的。

MySQL企业防火墙的过程和功能

MySQL企业防火墙具有存储过程，这些过程执行诸如在防火墙中注册MySQL帐户，建立其操作模式以及管理缓存与底层系统表之间的防火墙数据传输之类的任务。它还具有一组用户定义函数(UDF)，这些函数为较低级别的任务提供了SQL级别的API，例如将缓存与基础系统表同步。

在正常操作下，存储过程将实现用户界面。UDF由存储过程调用，而不是由用户直接调用。

要在默认数据库不是包含该过程的数据库时调用存储过程，请用数据库名称限定过程名称。例如：

CALL mysql.sp_set_firewall_mode(user, mode);

下表描述了每个防火墙存储过程和UDF：

sp_reload_firewall_rules(user)

此存储过程使用防火墙UDF重置注册帐户，并从mysql.firewall_whitelist表中存储的规则为其重新加载内存中规则 。此过程可控制单个帐户的防火墙操作。

该user参数以字符串 形式将受影响的帐户命名为字符串 。 user_name@host_name

例：

CALL mysql.sp_reload_firewall_rules('fwuser@localhost');

警告

此过程将帐户模式设置为 RESET，这将清除帐户白名单并将其模式设置为OFF。如果帐户模式不在 呼叫OFF之前，sp_reload_firewall_rules()请sp_set_firewall_mode()在重新加载规则后使用来恢复其先前的模式。例如，如果该帐户处于 PROTECTING模式下，则在调用后不再如此 sp_reload_firewall_rules()，您必须PROTECTING再次将其设置为显式。

sp_set_firewall_mode(user, mode)

该存储过程向防火墙注册了一个MySQL帐户并建立其操作模式。该过程还根据需要调用防火墙UDF，以在缓存和基础系统表之间传输防火墙数据。即使mysql_firewall_mode系统变量为OFF，也可以调用此过程，尽管在禁用防火墙的情况下为帐户设置模式没有任何作用。

该user参数以字符串 形式将受影响的帐户命名为字符串 。 user_name@host_name

的mode是该用户的动作模式，作为字符串。允许这些模式值：

OFF：禁用该帐户的防火墙。

DETECTING：入侵检测模式：将可疑(不匹配)语句写入错误日志，但不拒绝访问。

PROTECTING：通过将传入对帐单与帐户白名单进行匹配来保护帐户。

RECORDING：培训模式：记录该帐户可接受的对帐单。不会立即因语法错误而失败的传入语句被记录为帐户白名单规则的一部分。

RESET：清除帐户白名单并将帐户模式设置为OFF。

将帐户的模式切换为任何模式，但 RECORDING将防火墙高速缓存数据同步到基础mysql 系统数据库表以进行持久存储。将模式从切换OFF为 RECORDING会将白名单从mysql.firewall_whitelist表重新加载到缓存中。

如果帐户的白名单为空，PROTECTING则将其模式设置为 产生一条错误消息，该错误消息将在结果集中返回，但不会出现SQL错误：

mysql> CALL mysql.sp_set_firewall_mode('a@b','PROTECTING');

+----------------------------------------------------------------------+

| set_firewall_mode(arg_userhost, arg_mode) |

+----------------------------------------------------------------------+

| ERROR: PROTECTING mode requested for a@b but the whitelist is empty. |

+----------------------------------------------------------------------+

1 row in set (0.02 sec)

Query OK, 0 rows affected (0.02 sec)

mysql_firewall_flush_status()

此UDF将几个防火墙状态变量重置为0：

Firewall_access_denied

Firewall_access_granted

Firewall_access_suspicious

例：

SELECT mysql_firewall_flush_status();

normalize_statement(stmt)

此UDF将SQL语句标准化为用于白名单规则的摘要形式。

例：

SELECT normalize_statement('SELECT * FROM t1 WHERE c1 > 2');

read_firewall_users(user, mode)

此聚合UDF通过SELECT表上的语句 更新防火墙用户缓存mysql.firewall_users。

例：

SELECT read_firewall_users('fwuser@localhost', 'RECORDING')

FROM mysql.firewall_users;

read_firewall_whitelist(user, rule)

此聚合UDF通过SELECT表上的一条语句 更新记录的语句高速缓存mysql.firewall_whitelist。

例：

SELECT read_firewall_whitelist('fwuser@localhost', 'RECORDING')

FROM mysql.firewall_whitelist;

set_firewall_mode(user, mode)

该UDF管理用户缓存并建立用户操作模式。

例：

SELECT set_firewall_mode('fwuser@localhost', 'RECORDING');

MySQL企业防火墙系统变量

MySQL企业防火墙支持以下系统变量。使用它们来配置防火墙操作。除非安装了防火墙，否则这些变量不可用(请参见 第6.4.7.2节“安装或卸载MySQL企业防火墙”)。

mysql_firewall_mode

属性 值

命令行格式 --mysql-firewall-mode[={OFF|ON}]

系统变量 mysql_firewall_mode

范围 全球

动态 是

SET_VAR 提示适用 没有

类型 布尔型

默认值 ON

MySQL企业防火墙是启用(默认)还是禁用。

mysql_firewall_trace

属性 值

命令行格式 --mysql-firewall-trace[={OFF|ON}]

系统变量 mysql_firewall_trace

范围 全球

动态 是

SET_VAR 提示适用 没有

类型 布尔型

默认值 OFF

MySQL企业防火墙跟踪是启用还是禁用(默认)。当 mysql_firewall_trace启用时，为PROTECTING模式，防火墙写入拒绝语句错误日志。

MySQL企业防火墙状态变量

MySQL企业防火墙支持以下状态变量。使用它们来获取有关防火墙运行状态的信息。除非安装了防火墙，否则这些变量不可用(请参见第6.4.7.2节“安装或卸载MySQL企业防火墙”)。每当MYSQL_FIREWALL安装插件或启动服务器时，防火墙状态变量都设置为0 。mysql_firewall_flush_status()UDF 将其中许多重置为零 (请参阅 MySQL企业防火墙过程和功能)。

Firewall_access_denied

MySQL企业防火墙拒绝的语句数。

Firewall_access_granted

MySQL企业防火墙接受的语句数。

Firewall_access_suspicious

MySQL Enterprise Firewall记录为处于DETECTING模式下的用户可疑的语句数。

Firewall_cached_entries

MySQL企业防火墙记录的语句数，包括重复项。