Zapora bazodanowa (ang. database firewall) to rodzaj aplikacji, która monitoruje ruch w bazie danych. DBF ma za zadanie wykrywać i chronić bazę przed atakami, których głównym celem jest uzyskanie dostępu do poufnych danych. Zapory bazodanowe umożliwiają także monitorowanie wszystkich wejść do bazy danych w chmurze za pośrednictwem dzienników. Database firewall to rozwiązanie, które jest instalowane razem z serwerem bazy danych bezpośrednio przed nim lub w pobliżu bramy sieciowej, gdy ochrona ma dotyczyć wielu baz danych umieszczonych na wielu serwerach.
Zapory bazodanowe są dostarczane z predefiniowanymi, regulowanymi zasadami audytu bezpieczeństwa, które po dopasowaniu mogą wykrywać zagrożenia bazy danych na podstawie wcześniejszych incydentów lub wzorców wystąpień znanych jako „sygnatury”. Ze względu na to, że wiele zapytań w DBF jest implementowanych jako sekwencje wykonywalnych instrukcji SQL, wprowadzone instrukcje lub zapytania są porównywane z sygnaturami publikowanymi przez producentów w celu zidentyfikowania znanych ataków na bazy danych. Aby zminimalizować ryzyko włamania do bazy danych w nowy, nierozpoznany sposób, zapory DBF dołączają lub tworzą własną listę dozwolonych instrukcji SQL. Wszystkie polecenia wejściowe są weryfikowane w oparciu o tę listę i tylko te, które się na niej znajdują, uzyskują dostęp do bazy.
Wiele zapór bazodanowych jest zdolnych do wykrywania luk w zabezpieczeniach baz danych, systemu operacyjnego i protokołów oraz może zaalarmować administratora, aby podjął odpowiednie kroki w celu ich naprawy. Istnieją również zapory, które mogą monitorować odpowiedzi w bazie danych, aby zapobiec wyciekom. Zapory DBF mogą ostrzegać użytkowników przed wykonaniem podejrzanej operacji zamiast natychmiastowego blokowania.
Niektóre zapory bazodanowe mogą poddawać ocenie takie kryteria, jak adres IP, czas, lokalizacja lub rodzaj aplikacji, a następnie decydować o ich zablokowaniu. Duży problem tego rozwiązania stanowią fałszywe alarmy w zaporach baz danych.