| Oracle® Audit Vault and Database Firewall管理者ガイド リリース12.1.1 B71711-02 |
|
 前 |
 次 |
この章では、ネットワーク上でDatabase Firewallを構成する方法と、トラフィック・ソース、ブリッジおよびプロキシを構成する方法について説明します。
この章の内容は、次のとおりです。
各Database Firewallのシステム設定およびネットワーク設定の構成は、Oracle Audit Vault and Database Firewallのデプロイの計画全体によって異なります。計画手順の概要は、「システム構成の計画」を参照してください。
各ファイアウォールを構成するとき、そのファイアウォールを管理するAudit Vault Serverを特定します。また、Oracle AVDFシステム構成全体の計画に応じて、ファイアウォールのトラフィック・ソースを構成し、ネットワーク・トラフィックに対してインラインにするか帯域外にするかと、プロキシとして使用するかどうかを決定します。
Database Firewallの構成後に、ファイアウォールで保護する各データベース・セキュア・ターゲットの強制ポイントを構成します。その手順の詳細は、「強制ポイントの構成」を参照してください。
オプションで、高可用性環境用にDatabase Firewallの回復可能なペアを設定できます。詳細は、「高可用性の構成」を参照してください。
Oracle AVDFシステムの構成に関するワークフローの概要を確認するには、「Oracle AVDF構成ワークフローについて」を参照してください。
ログイン方法の詳細は、「Database FirewallコンソールUIへのログイン」を参照してください。初めてログインする場合は、パスワードを設定する必要があります。
この項の内容は、次のとおりです。
インストーラにより、インストール時にDatabase Firewallの初期ネットワーク設定が構成されます。このネットワーク設定は、インストール後に変更できます。
Database Firewallのネットワーク設定を変更する手順は、次のとおりです。
Database Firewall管理コンソールにログインします。
「システム」メニューで、「ネットワーク」を選択します。
「Network Configuration」ページで、「Change」ボタンをクリックします。
「管理インタフェース」セクションで、必要に応じて次のフィールドに入力した後、「保存」をクリックします。
IP Address: 現在アクセスしているDatabase FirewallのIPアドレス。IPアドレスはインストール時に設定されています。別のアドレスを使用する場合は、ここで変更できます。IPアドレスは静的で、ネットワーク管理者から取得する必要があります。
ゲートウェイ: デフォルト・ゲートウェイのIPアドレス(たとえば、インターネット・アクセス用)。デフォルトのゲートウェイは、ホストと同じサブネット上にある必要があります。
名前: このDatabase Firewallの説明的な名前を入力します。名前は英数字で、空白は指定できません。
リンクのプロパティ: 自動ネゴシエーションを使用しないようにネットワークが構成されている場合を除き、デフォルト設定を変更しないでください。
ネットワーク・サービス構成により、Database Firewallへのアクセス方法が決定されます。「データの保護」のガイドラインを参照して、ネットワーク・サービスを構成するときに適切なセキュリティ措置を必ず講じてください。
Database Firewallのネットワーク・サービスを構成する手順は、次のとおりです。
Database Firewall管理コンソールにログインします。
「システム」メニューで、「サービス」をクリックします。
「変更」ボタンをクリックし、「ネットワーク・サービスの構成」ページで、必要に応じて次の情報を編集します。
DNSサーバー1、DNSサーバー2、DNSサーバー3: ホスト名を変換する必要がある場合、ネットワーク上にある少なくとも1つのDNSサーバーのIPアドレスを入力する必要があります。最高3つまでDNSサーバーのIPアドレスを入力できます。DNSサーバーがない場合は、このフィールドを空白のままにして、システム・パフォーマンスの低下を防止します。
Webアクセス: 選択したコンピュータにDatabase Firewall管理コンソールへのWebアクセスを許可する場合は、そのIPアドレスをカンマで区切って入力します。「all」を入力すると、サイト内のすべてのコンピュータからアクセス可能になります。
SSHアクセス: 選択したコンピュータにDatabase Firewall管理コンソールへのセキュアなシェル・アクセスを許可する場合は、そのIPアドレスを空白で区切って入力します。すべてのSSHアクセスをブロックする場合は、「無効」と入力します。無制限アクセスを許可する場合は、「すべて」と入力します。
SNMPアクセス: SNMPを使用したDatabase Firewallのネットワーク構成へのアクセスを許可する場合は、そのアクセスを許可するIPアドレスのリストを空白で区切って入力します。すべてのSNMPアクセスを制限する場合は、「無効」と入力します。無制限アクセスを許可する場合は、「すべて」と入力します。SNMPコミュニティ文字列はgT8@fq+Eです。
「保存」をクリックします。
Database Firewallの日時を設定する手順は、次のとおりです。
Database Firewall管理コンソールにログインします。
左側の「システム」メニューから「日付と時間」をクリックした後、下方向にスクロールして「変更」ボタンをクリックします。
正しい日付と時刻を協定世界時(UTC)で入力します。
(オプション)「Enable NTP Synchronization」を選択します。
「NTP同期の有効化」を選択すると、「サーバー1」、「サーバー2」、「サーバー3」の各フィールド(IPアドレスまたは名前を指定可能)で指定したタイム・サーバーからリカバリされる時刻の平均と、時刻の同期が維持されます。名前を指定した場合は、「System Settings」ページで指定したDNSサーバーが名前解決のために使用されます。
時刻の同期を有効にするには、「ステップ1: Database Firewallのネットワークおよびサービス構成の変更」で説明されているように、デフォルト・ゲートウェイおよびDNSサーバーのIPアドレスも指定する必要があります。
(オプション) この3つのサーバー・フィールドで、デフォルトのNTPサーバー・アドレスを使用するか、希望のタイム・サーバーのアドレスを入力します。
|
注意: IPアドレスのかわりにホスト名を使用する場合は、あらかじめDNSの構成が必要です。DNSが構成されていないと名前解決が機能しません。「Database Firewallのネットワーク・サービスの構成」を参照してください。 |
「サーバーのテスト」により、サーバーからの時刻が表示されますが、更新されることはありません。
「保存」をクリックします。
サーバーの証明書およびIPアドレスを指定して各Database FirewallとAudit Vault Serverを関連付け、Audit Vault Serverでファイアウォールを管理できるようにする必要があります。高可用性のためにAudit Vault Serverの回復可能なペアを使用している場合は、ファイアウォールを両方のサーバーに関連付ける必要があります。
注意: ファイアウォールをAudit Vault Serverに登録する前に、Audit Vault Serverの証明書およびIPアドレスをDatabase Firewallに指定する必要があります。
Audit Vault Serverの証明書およびIPアドレスを指定する手順は、次のとおりです。
Audit Vault Serverに管理者としてログインし、「設定」タブをクリックします。
「セキュリティ」メニューで、「証明書」をクリックします。
サーバーの証明書が表示されます。
サーバーの証明書をコピーします。
Database Firewall管理コンソールにログインします。
「システム」メニューで、「Audit Vaultサーバー」をクリックします。
Audit Vault ServerのIPアドレスを入力します。
Audit Vault Serverの証明書を隣のフィールドに貼り付けます。
Audit Vault Serverの回復可能なペアを使用している場合は、「2番目のAudit Vaultサーバーの追加」チェック・ボックスを選択し、2つ目のAudit Vault ServerのIPアドレスおよび証明書を入力します。
|
ヒント: 2つ目のAudit Vault ServerにはコンソールUIがありません。しかし、セカンダリ・サーバーの証明書はプライマリ・サーバーから取得できます。「設定」タブをクリックした後、「システム」メニューから「高可用性」をクリックします。セカンダリ・サーバーの証明書は、「ピア・システム証明書」フィールドに表示されます。 |
「適用」をクリックします。
この項の内容は、次のとおりです。
ネットワーク構成の計画時に、Database Firewallsをセキュア・ターゲット・データベースへのトラフィックに対してインラインに配置するか、帯域外に配置(たとえば、スパニング・ポート(ミラー・ポート)を使用)するかを決定します。また、ファイアウォールをトラフィック・プロキシとして使用することを決定する場合があります。Database Firewallの動作モードがDAM (監視のみ)であるかDPE (ブロック)であるかによって、ネットワークの構成は変わります。これらのモードの詳細は、「Database Firewall」を参照してください。
Database Firewall管理コンソールを使用して、各ファイアウォールのトラフィック・ソースを構成し、ソースをネットワーク・トラフィックに対してインラインにするかどうかと、ファイアウォールがプロキシとして機能できるかどうかを指定します。
ファイアウォールのトラフィック・ソースとプロキシ・ソースを使用して、そのファイアウォールで監視するセキュア・ターゲット・データベースごとに強制ポイントを構成します。詳細は、「強制ポイントの構成」を参照してください。
トラフィック・ソースは、Database Firewallを通過するトラフィックのIPアドレスとネットワーク・インタフェースの詳細を指定します。トラフィック・ソースは、インストール・プロセス中に自動的に構成され、その構成の詳細は後で変更できます。
トラフィック・ソースの構成を変更する手順は、次のとおりです。
Database Firewall管理コンソールにログインします。
「System」メニューで、「Network」をクリックします。
Database Firewallのネットワーク設定、プロキシ・ポート、トラフィック・ソース、ネットワーク・インタフェースおよび有効なブリッジなど、現在のネットワーク設定が表示されます。
「変更」ボタンをクリックします。
「トラフィック・ソース」セクションまでスクロールし、必要に応じて次の情報を変更します。
トラフィック・ソースを削除するには、トラフィック・ソース名の横にある「削除」ボタンをクリックします。
必要に応じて、「IPアドレス」フィールドまたは「ネットワーク・マスク」フィールドを編集します。
ブリッジを有効または無効にするには、「ブリッジが有効」ボックスを選択または選択解除します。ブリッジを有効にできるのは、トラフィック・ソースの「デバイス」領域に2つのネットワーク・インタフェースが存在する場合のみです。「Database Firewallでのブリッジの構成」を参照してください。
トラフィック・ソースからネットワーク・インタフェース(ネットワーク・カード)を削除するには、「デバイス」領域で、デバイスの「削除」ボタンをクリックします。
ネットワーク・インタフェースをトラフィック・ソースに追加するには、未割当てのネットワーク・デバイス・セクションまでスクロースし、「トラフィック・ソース」ドロップダウン・リストから、そのデバイスを追加するトラフィック・ソースの名前を選択します。
「保存」をクリックします。
Database Firewallは、可能性のあるSQL攻撃をブロックするためにブロック・モードで使用する場合、ネットワーク・トラフィックに対してインラインにする必要があります。Database Firewallがプロキシ・モードではない場合、データベース・ネットワークに対して一意である追加のIPアドレスを割り当てて、ブリッジを有効にする必要があります。ブリッジIPアドレスは、Database Firewall内でのトラフィックのリダイレクトに使用されます。Database Firewallをプロキシとして使用する場合、このような追加のIPアドレスを割り当てる必要はありません。詳細は、「トラフィック・プロキシとしてのDatabase Firewallの構成」を参照してください。
トラフィック・ソースをブリッジとして有効にするには、そのトラフィック・ソースに2つのネットワーク・インタフェースが必要です。これらのネットワーク・インタフェース・ポートによって、データベースとクライアントの間でDatabase Firewallをインラインで接続する必要があります(データベース・ポリシー強制モードまたはデータベース・アクティビティ監視モードを使用)。
Database FirewallのブリッジIPアドレスを構成する手順は、次のとおりです。
Database Firewall管理コンソールにログインします。
「システム」メニューで「ネットワーク」をクリックした後、「変更」ボタンをクリックします。
「トラフィック・ソース」セクションで、ブリッジとして構成するトラフィック・ソースを探します。
このトラフィック・ソースには2つのネットワーク・インタフェースが必要です。必要に応じて、ページの「未割当てのネットワーク・インタフェース」セクションからインタフェースを追加できます。「トラフィック・ソースの構成」を参照してください。
このトラフィック・ソースの「ブリッジが有効」を選択します。
必要に応じて、「IPアドレス」または「ネットワーク・マスク」を編集します。
ブリッジIPアドレスは、Database Firewall内でのトラフィックのリダイレクトに使用されます。
「保存」をクリックします。
ネットワーク構成によっては、ネットワーク・トラフィックに対するブリッジ(インライン)ではなくDatabase Firewallでトラフィック・プロキシを構成するほうが望ましい場合があります。この場合、強制ポイントにプロキシを関連付けることができます。異なる強制ポイントに使用するために、プロキシに複数のポートを指定することも可能です。詳細は、「強制ポイントの構成」を参照してください。
Database Firewallをトラフィック・プロキシとして設定すると、データベース・クライアントは、Database FirewallのプロキシIPおよびポートを使用してデータベースに接続します。
トラフィック・プロキシを構成する手順は、次のとおりです。
プロキシとして機能するDatabase Firewallの管理コンソールにログインします。
「システム」メニューで「ネットワーク」をクリックした後、「変更」ボタンをクリックします。
ページの「未割当てのネットワーク・インタフェース」セクションで、使用可能なネットワーク・インタフェースを探し、「トラフィック・ソース」ドロップダウン・リストで「トラフィック・プロキシ」を選択します。
追加のネットワーク・インタフェースを解放するには、解放するネットワーク・インタフェースの「削除」ボタンをクリックして、既存のトラフィック・ソースまたはトラフィック・プロキシから削除できます。
「追加」をクリックします。
新しいトラフィック・プロキシが、ページの「Traffic Proxies」領域に表示されます。
新しいプロキシで、「有効」を選択します。
新しいプロキシの「プロキシ・ポート」セクションで、ポート番号を入力して「追加」をクリックします。
1つのプロキシに複数のポートを指定することもでき、その場合は追加のポート番号を入力して「Add」をクリックします。
Database Firewallによって使用されるポートの詳細は、『Oracle Database Firewallセキュリティ・ガイド』を参照してください。
「保存」をクリックします。
これで、トラフィック・プロキシを強制ポイントで使用できるようになりました。「強制ポイントの構成」を参照してください。
Database Firewallのステータスまたは診断レポート(あるいはその両方)を表示する手順は、次のとおりです。
