| Oracle® Database Firewallインストレーション・ガイド リリース5.0 B65095-01 |
|
 前 |
 次 |
Oracle Database Firewallをインストールする一般的な手順は、次のとおりです。
Database Firewall専用に使用する予定のIntel x86サーバーに、Oracle Database Firewallをインストールします。このインストール・プロセスにより自動的にOracle Linuxオペレーティング・システムがインストールされ、このサーバーが再イメージ化されることに留意してください。
また、Database Firewallのインストール・プロセスでは、サーバー上にOracle Database Management Serverも作成します。同一サーバー上に1組のDatabase FirewallとManagement Serverをインストールすればよい場合は、次のAnalyzerのインストールに進めます。
Management Serverを別のコンピュータにインストールする場合は、1つ目のディスクのOracle Database Firewall Management Server 5.0を使用して、2つ目のサーバー上でインストーラを再実行します。このサーバーは、Management Server専用に使用する必要があります。
Database Firewallと同様に、インストール・プロセスにより、このIntel x86サーバーがOracle Linuxを使用するように再イメージ化されます。
別のIntel x86サーバー上でManagement Serverのインストーラを実行した後は、1つ目のDatabase Firewallサーバー上のManagement Serverは不要になるため無効化されます。
必要に応じて、追加のDatabase Firewallをそれぞれの個別のIntel x86サーバーにインストールし、それぞれを中央のManagement Serverに接続するよう構成します。
Database FirewallおよびManagement Serverのどちらのインストールについても、初回ログイン時にadminユーザー・アカウントのパスワードを変更する必要があります。
Database FirewallおよびManagement Serverをインストールした後、WindowsコンピュータにAnalyzerをインストールできます。
この項の内容は、次のとおりです。
Database FirewallおよびDatabase Firewall Management Serverをインストールする手順は、次のとおりです。
Intel x86システムで、インストールするコンポーネントの最初のディスクを挿入します。
Database Firewall: Oracle Database Firewall 5.0 - Disc 1というタイトルのディスクを挿入します。このディスクを挿入すると、Oracle Database Firewallを専用サーバーにインストールするか、またはOracle Database FirewallおよびOracle Database Firewall Management Serverの両方を同一サーバーにインストールできます。
Management Server: Oracle Database Firewall Management Server 5.0というタイトルのディスクを挿入します。このディスクを挿入すると、Oracle Database Firewallとは別のサーバーにOracle Database Firewall Management Serverをインストールできます。
ディスクをディスク・ドライブに挿入した状態で、コンピュータをCD/DVD ROMドライブから再起動します。
インストール・プロセスを開始するには、適切なディスクからコンピュータを再起動する必要があるので注意してください。
プロンプトが表示されたら、Oracle Linux DVDを挿入します。
[Tab]を押して「OK」ボタンを選択してから、「Return」を押します。
「Password」フィールドで、ルート・パスワードを作成してから、[Tab]キーを押して「Password Confirm」フィールドに移動します。パスワードを再度入力してから、[Enter]を押します。
Oracleサポートにより要求された場合、rootアカウントを使用します。安全なパスワードを作成してください。セキュアなパスワードを作成する方法は、次のとおりです。
パスワードは8から30文字の英数字にします。
パスワードには、数値、大文字および小文字を少なくとも1文字ずつ含めます。
意味のある単語のみで構成されるパスワードを使用しないでください。
welcomeとbinky1のように、解読可能な2つのパスワードを組み合せてWelBinky1Comeとします。
インストーラにより、書式設定中でありインストール・プロセスを開始する旨を示すメッセージが表示されます。
ディスク2を要求するプロンプトが表示されたら、ディスク1(ステップ1でOracle Database Firewall Management Server 5.0を挿入した場合はこのディスク)を取り出し、ディスク2を挿入します。[Enter]を押します。
プロンプトが表示されたら、ディスク2を取り出し、ディスク3を挿入します。
プロンプトが表示されたら、ディスク3を取り出し、ディスク1(ステップ1でOracle Database Firewall Management Server 5.0を挿入した場合はこのディスク)を挿入します。
プロンプトが表示されたら、ユーザーsupportのパスワードを作成し、[Enter]を押します。
Oracleサポートにより要求された場合、supportアカウントを使用します。パスワードを入力する際、入力したパスワードを示すためのアスタリスクなど、テキストが表示されないことに注意してください。
セキュアなパスワードを作成するには、ステップ5に記載されたガイドラインを参照してください。
すぐに、Successfully configured system user "support"というメッセージが表示されます。[Enter]を押して続行します。
プロンプトが表示されたら、sysユーザーのパスワードを作成します。
すぐに、Successfully configured system user "sys"というメッセージが表示されます。[Enter]を押して続行します。
「Network Devices」画面が次のように表示されます。
ネットワーク・デバイス設定を変更しない場合は、下矢印を押し続けてページの最下部を表示します。「Save」を選択し、ステップ14に進みます。
ネットワーク・デバイス接続を変更する場合は、「Network Devices」画面で、Oracle Database FirewallまたはManagement Serverに使用するネットワーク・デバイス接続を選択します。
リスト内を移動するには、[Tab]キーを押します。セクションを作成するには、[Enter]を押します。次に「Settings」画面が表示されます。
例:
ステップ12の設定を変更するには、「Settings」画面で次の選択肢から選択します。これらの設定により、Management Serverインタフェースおよびブリッジに物理ポートをマップできます。
Up: デバイスをリスト内で上に移動します。
Down: デバイスをリスト内で下に移動します。
Identify: 10秒間デバイスを識別します(通常はランプが点滅)。
Refresh: 前のページのリンク・リストをリフレッシュします。
設定が完了したら、「OK」をクリックします。
次に「Network Actions」画面が表示されます。
「Network Actions」画面で、「Save」を選択し、[Enter]を押します。
すぐに、Saved network settings successfullyというメッセージが表示されます。[Enter]を押します。
「Complete」画面が表示されたら、インストール・プロセスで使用したメディアを取り出し、[Enter]を押してシステムを再起動します。(Oracleデータベースはサイレント・インストールされているため、この構成ステップはしばらく時間がかかる場合があります。)
Database Firewallが正常に再起動されると、この画面に戻ります。
Database Firewallのインストールが完了しました。他に7つの端末画面があり、[Alt]を押しながら[F2]から[F8]を押してアクセスできます。これらの画面から、rootまたはsupport(あるいはその両方)としてログインし、Database Firewallでログを表示できます。Oracleサポートから指示されないかぎり、Database Firewallで直接ファイルにアクセスしないでください。[Alt]を押しながら[F9]を押した端末を使用して、起動メッセージを表示できます。
この画面が表示された場合、次のステップに進んでネットワーク設定を構成します。
上矢印または下矢印を押してから[Enter]を押して、オプション(「IP Address」、「Network Mask」または「Default Gateway」)を選択します。
ダッシュ記号(-)は、現在選択されているオプションを示します。前の画面に戻るには、[Esc]を押します。
上矢印または下矢印を押してから[Enter]を押して、各フィールドの必須値を選択します。
次の点に注意してください。
「IP Address」は、Database Firewall管理コンソールのURLで使用するアドレスです。管理コンソールを使用するユーザー用に、このIPアドレスをメモします。
多くの場合、「Network Mask」の設定を変更する必要はありません。
ゲートウェイを使用していない場合は、「Default Gateway」を0.0.0.0に設定します。
プロンプトが表示されたら、「Accept」を選択して設定を受け入れるか、または「Back」をクリックして前の画面に戻り、IPアドレスを再入力します。
このステップにより構成プロセスが完了し、コンピュータが使用可能となります。コンピュータの再起動など、その他の手順を実行する必要はありません。
インストール・プロセスにより、各Database FirewallおよびManagement Server上に、管理コンソールが作成されます。インストールを完了したら、コンソールにログインし、デフォルトの管理ユーザーadminのパスワードを変更する必要があります。
Database FirewallまたはManagement Serverのいずれかの管理コンソールの初回起動時に、デフォルトのパスワードを変更するよう求めるプロンプトが表示されます。
次のURLを入力します。
https://ip_address/user/login
ここでは、次のようになります。
ip_address: 「ステップ1: Oracle Database Firewallインストール・ソフトウェアの実行」のステップ19で作成したIPアドレス設定を入力します。
Webブラウザで、このURLをお気に入りに追加して簡単にアクセスできるようにします。
「Login」ページに、次の資格証明を入力します。
Login ID: admin
Password: admin
プロンプトが表示されたら、新しいパスワードを入力します。安全なパスワードを作成してください。「ステップ1: Oracle Database Firewallインストール・ソフトウェアの実行」のステップ5にリストされたガイドラインを参照してください。
管理コンソールが表示されます。次のウィンドウは、Management Serverシステムにおける管理コンソールの通常の表示方法を示しています。
この項では、Oracle Database Firewall で使用されるポートをリストします。
表3-1では、システムの外部ユーザーが使用するDatabase FirewallまたはManagement Serverによって提供されるサービスのポートを示しています。これらのすべてのサービスへのアクセスは、Database Firewallシステム内で制御できます。外部ネットワーク・ファイアウォールが使用されている場合、これらのサービスのユーザー(クライアント)からDatabase Firewallシステムへの接続を許可するため、これらのポートは開いている必要があります。
表3-1 Database FirewallまたはManagement Serverが提供するサービスのポート
| ポート | プロトコル・ファミリ | プロトコル | 用途 | 備考 |
|---|---|---|---|---|
|
22 |
TCP |
SSH |
システムへのコマンドライン・アクセス |
|
|
161 |
UDP |
SNMP |
SNMPアクセス |
|
|
443 |
TCP |
HTTPS |
管理コンソール(Webインタフェース) |
このポートは管理コンソールで変更できます。 |
|
1521 |
TCP |
Oracle Database |
外部レポート用のセキュア・ログ・アクセス |
|
|
4560 |
TCP |
DBFW内部プロトコル |
Analyzerによるトラフィック・ログへのアクセス |
|
|
1514 |
TCP |
SSL上のTCP syslog |
外部Webアプリケーション・ファイアウォールから受信したsyslogメッセージ |
|
|
4600 - 4680 |
TCP |
DBFW内部プロトコル |
リモート・モニターからの受信トラフィックの取得 |
管理コンソールでこれらの強制ポイントを設定する場合は、強制ポイント設定ページに示されたポート番号を使用します。 |
|
5514 - 5593 |
TCP |
syslog |
受信WAF(F5)違反アラート |
管理コンソールでこれらの強制ポイントを設定する場合は、強制ポイント設定ページに示されたポート番号を使用します。 |
表3-2では、Database Firewallで使用できる外部サービス用のポートを示しています。外部ネットワーク・ファイアウォールが使用されている場合、Database Firewallでこれらのサービスをクライアントとして使用できるよう、関連ポートを開いておく必要があります。
表3-2 Database FirewallまたはManagement Serverによる外部ネットワーク・アクセス用のポート
| ポート | プロトコル・ファミリ | プロトコル | 用途 | 備考 |
|---|---|---|---|---|
|
25 |
TCP |
SMTP |
電子メール配信 |
|
|
123 |
UDPおよびTCP |
NTP |
時間の同期 |
|
|
514 |
UDP、またはTCPとして構成 |
syslog |
syslogアラート |
syslogサーバーへのTCPトランスポート接続の場合、管理コンソールでポートを構成する必要があります。 |
|
514 |
UDP、またはTCPとして構成 |
syslogトランスポートにおける特許を持つArcSightプロトコル |
DBFWアラート |
ArcSightサーバーへのTCPトランスポート接続の場合、管理コンソールでポートを構成する必要があります。 |
|
514 |
TCP |
syslog |
WAF (F5)アラート |
ポートは管理コンソールから変更できます。 |
表3-3では、Database FirewallとDatabase Firewall Management Serverの間で使用されるサービス用のポートを示しています。外部ネットワーク・ファイアウォールがこれらのシステムの間に配置されている場合、関連ポートが開いている必要があります。
Database FirewallおよびManagement Serverをインストールしたら、Analyzerをインストールできるようになります。
Oracle Database Firewall Analyzerをインストールする手順は、次のとおりです。
Oracle Database Firewall Utilities 5.0というディスクをWindowsディスク・ドライブに挿入し、OracleDatabaseFirewallAnalyzerInstaller.exeファイルの場所を特定します。
この実行可能ファイルは、ディスクのルート・レベルに格納されています。
OracleDatabaseFirewallAnalyzerInstaller.exeファイルをダブルクリックし、Oracle Database Firewall Analyzerをインストールします。
「Welcome to the Oracle Database Firewall Analyzer Setup Wizard」ページが表示されます。
「Next」をクリックします。
「Choose Install Location」ページが表示されます。デフォルトでは、宛先フォルダは「Program Files」フォルダの「Oracle」フォルダ内です。
Oracle Database Firewall Analyzerインストーラを別の場所にインストールする場合は、「Browse」をクリックします。「Next」をクリックします。
「Choose Start Menu Folder」ページが表示されます。
「Install」をクリックします。
「Completing the Oracle Database Firewall Analyzer Setup Wizard」ページが表示されます。
「Finish」をクリックします。
Oracle Database Firewall Analyzerがインストールされます。
Oracle Database Firewall(スタンドアロンまたは管理)は、100GBのディスク領域を使用するまで拡張されます。Management Serverは、500GBのディスク領域を使用するまで拡張されます。いずれのサーバーでも、より多くの領域を使用するには手動変更が必要です。この項では、パーティション・サイズの拡張方法を説明します。できれば、Database Firewallをインストールしてから強制ポイントを構成するまでの間に、次のステップを実行してください。
スタンドアロンのDatabase FirewallおよびManagement Serverのディスク領域を増やす手順は、次のとおりです。
Database Firewallシステムがすでに使用されている場合(強制ポイントを構成した場合など)、構成、トラフィック・ログ・ファイルおよび監査ファイルをアーカイブします。
rootユーザーとしてコンピュータにログインします。
空きディスク領域の量を調べるには、vgsコマンドを実行します。
例:
vgs VG #PV #LV #SN Attr VSize VFree new_vg 3 1 1 wz--n- 120.03G 238.25G
次に、Oracleパーティションおよびログ・ファイル・パーティションの領域の割当て方法を決定します。
Managed Database Firewall: 追加領域として100パーセント追加します。たとえば、管理Database Firewallで100GBのディスク領域を使用している場合、100GBの領域を追加する必要があります。
Standalone Database Firewall or a Management Server: スタンドアロンのDatabase FirewallまたはManagement Serverの場合、追加領域の1/3をOracleパーティションに割り当て、領域の2/3をログ・ファイル・パーティションに割り当てることをお薦めします。将来的にパーティション・レイアウトを変更する場合は、追加領域を一部残しておく必要があります。
次の例では、Oracleパーティションに66GB、ログ・ファイル・パーティションに132GBを割り当て、40.25GBを空き領域として残しています。
Oracleパーティションについて、次のコマンドを実行し、/var/lib/oracleディレクトリの論理ボリューム・グループのサイズを変更します。
lvextend -L+space_amountG /dev/vg_root/lv_oracle
このディレクトリはOracleデータベースが存在する場所です。space_amountは、追加する領域の量の値で置き換えます。例:
lvextend -L+66G /dev/vg_root/lv_oracle
ログ・ファイル・パーティションについて、次のコマンドを実行し、圧縮されたログ・ファイルが格納されているパーティションを拡張します。
lvextend -L+space_amountG /dev/vg_root/lv_var_dbfw
space_amountは、追加する領域の量の値で置き換えます。例:
lvextend -L+132G /dev/vg_root/lv_var_dbfw
次のコマンドを実行し、各パーティションにおいて現在使用可能なすべての領域を使用するようにします。
resize2fs /dev/vg_root/lv_oracle resize2fs /dev/vg_root/lv_var_dbfw
Oracleサポート・サイト(https://support.oracle.com)の1332492.1項の指示に従い、USERS表領域のサイズを大きくします。
この段階では、Oracle Database Firewall、Management ServerおよびAnalyzerはシステムにインストールされています。次のステップでは、Database Firewall管理者が次の接続を構成します。
各Database FirewallおよびManagement Serverの間の接続。インストールの完了直後にこのステップを実行することをお薦めします。『Oracle Database Firewall管理ガイド』の第2章および第3章で、このトピックについて説明しています。
高可用性環境で必要な接続。『Oracle Database Firewall管理ガイド』の第4章で、このトピックについて説明しています。
サイトのユーザー・アカウント。ユーザーの構成の詳細は、『Oracle Database Firewall管理ガイド』を参照してください。
保護されたデータベースのストアド・プロシージャおよびユーザー・アカウント情報を追跡するDatabase Firewallの機能。『Oracle Database Firewall管理ガイド』の第5章および第6章で、このトピックについて説明しています。
各Database Firewallと、これが監視する保護されたデータベースとの間の接続。『Oracle Database Firewall管理ガイド』の第7章から第10章で、このトピックについて説明しています。
この構成の完了後、Analyzerの使用を担当するユーザーは、『Oracle Database Firewallセキュリティ管理ガイド』の説明に従って、ポリシーの作成およびSQLトラフィックの監視を開始できます。
