数据库防火墙作为数据库安全防护的关键组件，主要通过两种常见方式实现阻断：行为阻断和Session阻断。这两种方式各有特点，适用于不同场景，共同保障数据库服务的安全运行。

1. 行为阻断
行为阻断（Behavior Blocking）是一种基于数据库操作行为的阻断策略。它通过实时监控SQL查询、事务操作等行为，结合预定义的安全策略（如SQL注入检测、权限违规检测），对异常或恶意行为进行阻断。例如，如果用户执行了高风险SQL语句（如DROP TABLE），防火墙会立即拦截该请求，并记录日志。行为阻断的优势在于灵活性高，能够精细控制特定操作，但可能增加系统开销，且需不断更新策略以适应新威胁。

2. Session阻断
Session阻断（Session Blocking）则侧重于数据库会话层面的控制。它通过监控用户会话的建立、维持和终止过程，对可疑会话进行阻断。例如，如果检测到来自异常IP的频繁连接尝试，防火墙会直接断开该会话，防止进一步攻击。Session阻断适用于处理连接级威胁，如暴力破解或DDoS攻击，操作简单且资源消耗较低，但可能无法针对具体SQL行为进行精细阻断。

比较与应用场景
- 行为阻断更适合内部威胁防护，例如防止误操作或内部人员滥用权限。它强调对SQL内容的深度分析，常用于金融、医疗等对数据完整性要求高的领域。
- Session阻断更适用于外部攻击防御，如阻断恶意IP的入侵尝试。它常用于互联网应用或高并发环境，以快速响应连接层威胁。

在实际部署中，数据库防火墙往往结合两种方式，实现多层防护。例如，先通过Session阻断过滤可疑连接，再使用行为阻断监控SQL操作，从而全面提升数据库服务的安全性。选择哪种方式需根据业务需求、性能影响和安全级别综合评估。