この章では、ネットワーク上でDatabase Firewallを構成する方法と、トラフィック・ソース、ブリッジおよびプロキシを構成する方法について説明します。
ここでのトピック
各Database Firewallのシステム設定およびファイアウォール設定の構成は、Oracle Audit Vault and Database Firewallのデプロイの計画全体によって異なります。
各ファイアウォールを構成するとき、そのファイアウォールを管理するAudit Vault Serverを特定します。また、Oracle Audit Vault and Database Firewallシステム構成全体の計画に応じて、ファイアウォールのトラフィック・ソースを構成し、ネットワーク・トラフィックに対してインラインにするか帯域外にするかと、プロキシとして使用するかどうかを決定します。
ノート:
Audit Vault ServerおよびDatabase Firewallサーバーは、ソフトウェア・アプライアンスです。Oracleの公式ドキュメントまたはOracleサポートから指示があった場合を除き、これらのサーバーでは、コマンドラインからLinuxオペレーティング・システムを変更しないでください。
Database Firewallは、1秒当たり4000トランザクションを処理し、SQL文ごとに100マイクロ秒未満の最小限の待機時間オーバーヘッドとなるように改良されました。これは内部パフォーマンス・テストに基づいています。
基本的なファイアウォール構成は、次の4つのステップで構成されます。
Database Firewallを構成したら、次のタスクを実行します。
ファイアウォールで保護する各データベース・セキュア・ターゲットの強制ポイントを構成します。
オプションで、高可用性環境用にDatabase Firewallの回復可能なペアを設定できます。
関連項目:
Oracle Audit Vault and Database Firewallシステムを構成するワークフローの概要を確認するには、「構成ステップの概要」を参照してください。
計画ステップの概要は、「システム構成の計画」を参照してください。
強制ポイントを構成するには、「強制ポイントの構成」を参照してください。
高可用性のためにDatabase Firewallの回復可能なペアを設定するには、「高可用性の構成」を参照してください。
Database Firewallの管理コンソールに最初にアクセスすると、証明書の警告またはメッセージが表示されます。今後、このタイプのメッセージが表示されないように、適切な認証局によって署名された新しいUI証明書をアップロードできます。
前提条件
管理者としてDatabase Firewallの管理コンソールにログインします。詳細は、「Database FirewallコンソールUIへのログイン」を参照してください。
Database FirewallのUI証明書を変更するには:
ノート:
独自の公開キー・インフラストラクチャを使用している場合は、ブラウザに認証局のパブリック証明書をインストールする必要があります。
前提条件
Database Firewall管理コンソールにログインします。詳細は、「Database FirewallコンソールUIへのログイン」を参照してください。
Database Firewallのネットワーク設定を変更するには:
ネットワーク・サービスの構成により、管理者がDatabase Firewallにアクセスできる方法が決定されます。データを保護するためのガイドラインを参照して、ネットワーク・サービスを構成するときに適切なセキュリティ措置を必ず講じてください。
前提条件
Database Firewall管理コンソールにログインします。詳細は、「Database FirewallコンソールUIへのログイン」を参照してください。
Database Firewallのネットワーク・サービスを構成するには:
前提条件
Database Firewall管理コンソールにログインします。詳細は、「Database FirewallコンソールUIへのログイン」を参照してください。
Database Firewallの日時を設定するには:
サーバーの証明書およびIPアドレスを指定して各Database FirewallとAudit Vault Serverを関連付け、Audit Vault Serverでファイアウォールを管理できるようにする必要があります。高可用性のためにAudit Vault Serverの回復可能なペアを使用している場合は、ファイアウォールを両方のサーバーに関連付ける必要があります。
ノート: ファイアウォールをAudit Vault Serverに登録する前に、次の手順に従ってAudit Vault Serverの証明書およびIPアドレスをDatabase Firewallに指定する必要があります。
始める前に
ログの収集の中断を回避する安全な期間にDatabase FirewallサーバーのIPアドレスを変更します。
Database FirewallサーバーのIPアドレスを変更するには:
ノート:
Database Firewallサーバーがオンラインに戻ると、オフライン中にダウンロードされていない強制ポイントのログ・データのダウンロードが開始されます。
ここでのトピック
ネットワーク構成の計画時に、Database Firewallをセキュア・ターゲット・データベースへのトラフィックに対してインラインに配置するか、帯域外に配置する(たとえば、スパニング、つまりミラー・ポートの使用)かを決定する必要があります。また、ファイアウォールをトラフィック・プロキシとして使用することを決定する場合があります。Database Firewallの動作モードがDAM (監視のみ)であるかDPE (ブロック)であるかによって、ネットワークの構成は変わります。
Database Firewall管理コンソールを使用して、各ファイアウォールのトラフィック・ソースを構成し、ソースをネットワーク・トラフィックに対してインラインにするかどうかと、ファイアウォールがプロキシとして機能できるかどうかを指定します。
ファイアウォールのトラフィック・ソースとプロキシ・ソースを使用して、そのファイアウォールで監視するセキュア・ターゲット・データベースごとに強制ポイントを構成します。
関連項目:
Database Firewallモードの詳細は、Database Firewallデプロイメントの概要を参照してください。
トラフィック・ソースは、Database Firewallを通過するトラフィックのIPアドレスとネットワーク・インタフェースの詳細を指定します。トラフィック・ソースは、インストール・プロセス中に自動的に構成され、その構成の詳細は後で変更できます。
前提条件
Database Firewall管理コンソールにログインします。詳細は、「Database FirewallコンソールUIへのログイン」を参照してください。
トラフィック・ソースの構成を変更するには:
Database Firewallでブリッジを構成する前に、次のものが適切に配置されていることを確認します。
可能性のあるSQL攻撃をブロックするためにブロック・モード(DPE)で使用する場合は、Database Firewallがネットワーク・トラフィックに対してインラインになっている(またはプロキシとして構成されている)ことを確認します。
Database Firewallがプロキシ・モードでない場合は、データベース・ネットワークに対して一意である追加のIPアドレスを割り当てて、ブリッジを有効にします。
Oracle Audit Vault and Database Firewallでは、ブリッジのIPアドレスを使用してDatabase Firewall内でトラフィックをリダイレクトします。Database Firewallをプロキシとして使用する場合、このような追加のIPアドレスを割り当てる必要はありません。
トラフィック・ソースをブリッジとして有効にするには、そのトラフィック・ソースに2つのネットワーク・インタフェースがあることを確認します。これらのネットワーク・インタフェース・ポートによって、データベースとクライアントの間でDatabase Firewallをインラインで接続する必要があります(データベース・ポリシー強制モードまたはデータベース・アクティビティ監視モードを使用)。
ノート:
ブリッジを使用するDatabase FirewallがDPEモードの場合は、そのブリッジのIPアドレスは、すべてのセキュア・ターゲット・データベースと同じサブネットにある必要があります。Database FirewallがDAMモードでデプロイされている場合には、この制限は適用されません。
Database Firewallの管理インタフェース(コンソールの「ネットワーク」ページで指定)およびブリッジが同一のサブネット上にある物理的に独立したネットワークに接続されている場合、Database Firewallは不正なインタフェースからレスポンスをルーティングする可能性があります。物理的に独立したネットワークが必要な場合は、別々のサブネットを使用してください。
インライン・ブリッジ・モードは12.2.0.8.0
で非推奨となり、19.1.0.0.0
でサポートされなくなります。かわりにプロキシ・モードを使用することをお薦めします。
Database FirewallのブリッジIPアドレスを構成するには:
Database Firewall管理コンソールにログインします。
「System」メニューで、「Network」をクリックします。
「管理インタフェース」ページで、「変更」ボタンをクリックします。
「トラフィック・ソース」セクションで、ブリッジとして構成するトラフィック・ソースを探します。
このトラフィック・ソースには2つのネットワーク・インタフェースが必要で、それは「デバイス」表にリストされています。必要に応じて、ページの「未割当てのネットワーク・インタフェース」セクションからインタフェースを追加できます。
このトラフィック・ソースの「ブリッジが有効」を選択します。
必要に応じて、「IPアドレス」または「ネットワーク・マスク」の設定を編集します。
ブリッジIPアドレスは、Database Firewall内でのトラフィックのリダイレクトに使用されます。
「保存」をクリックします。
トラフィック・プロキシとしてのファイアウォールの構成について学習します。
ネットワーク構成によっては、ネットワーク・トラフィックに対するブリッジ(インライン)ではなくDatabase Firewallでトラフィック・プロキシを構成するほうが望ましい場合があります。この場合、強制ポイントにプロキシを関連付けることができます。異なる強制ポイントに使用するために、プロキシに複数のポートを指定することも可能です。
Database Firewallをトラフィック・プロキシとして設定すると、データベース・クライアントは、Database FirewallのプロキシIPおよびポートを使用してデータベースに接続します。
トラフィック・プロキシを構成するには:
Interface Masters Niagaraサーバー・アダプタ・カードを構成する方法を学習します。
注意:
Oracle Audit Vault and Database Firewallリリース12.2.0.11.0では、Niagaraカードはサポートされません。Niagaraカードを使用する場合は、このリリースにアップグレードしないでください。
Interface Masters Niagaraサーバー・アダプタ・カードを構成するには、この手順を使用します。ドライバは、Oracle Audit Vault and Database Firewallのインストール時に入手できます。
Database Firewallコマンド・シェルにrootとしてログインします。
/etc/init.d/dbfw.niagara
ファイルを次のように編集します。
INSTALLED_NIAGARA_CARDS=0
という行を見つけます。
このDatabase Firewallに取り付けられているNiagaraカードの数に合せて0
を変更します。
Database Firewallを再起動します。
関連項目:
サポートされるネットワーク・インタフェース・カードの完全なリストは、Oracle Audit Vault and Database Firewallインストレーション・ガイドを参照してください。
診断レポート・ファイルの構成およびダウンロードについて学習します。
この項では、CLIを使用して診断レポートを生成する方法を有効化、構成および変更するための情報について説明します。
ノート:
これらのタスクを実行するには、rootユーザー権限が必要となります。
リリース12.2.0.6.0以降、診断レポートはデフォルトで有効ではなくなりました。ユーザーは、診断レポートを取得する機能を有効にする必要があります。有効にしたら、診断レポートで取得する情報を構成する必要があります。診断レポートは、柔軟にカスタマイズおよびパッケージ化できます。
次のファイルには、診断ユーティリティをインストール、有効化および実行する手順が記載されています。
diagnostics-not-enabled.readme
関連項目:
このファイルは、ユーザーが診断レポートをダウンロードする手順に従った場合にのみ生成されます。詳細は、「Database Firewallのステータスおよび診断レポートの表示」を参照してください。
次のコマンドを使用して、診断に関する特定のタスクを実行します。
コマンド | アクション |
---|---|
|
アプライアンスの有効な診断情報を取得します。保存されたZipファイルの場所がコマンド実行の最後に表示されます。 ノート: このコマンドは、診断情報を収集する際に |
|
システムが診断レポートを取得できるようにします。 |
|
完全な診断レポートを取得できるようにします。 |
|
診断レポートの個々の要素を取得できるようにします。 |
診断レポートをカスタマイズする際には、次の要素を含めることができます。
SYSTEM LOG DATABASE AVS_ARCHIVE DBFW_ARCHIVE PLATFORM_COMMANDS AVS_HA_COMMANDS AVS_COMMANDS DBFW_COMMANDS
診断レポートの内容は、ファイル/usr/local/dbfw/etc/dbfw-diagnostics-package.yml
によって制御されます。ユーザーは、このファイルを変更して、複数のカテゴリのファイルの組合せを含めたり、除外したりできます。このファイルの各セクションには、値をtrue
またはfalse
に設定することによって、特定のカテゴリを有効および無効にするオプションがあります。
たとえば、ログ・ファイル・コレクションの1つに項目を追加するには、単に:files:
要素の下のリストにファイル・パスまたはglobを追加します。
:log_files: :comment: Log files generated by the system runtime, install and upgrade. :enabled: false :platform: - AVS - DBFW :files: - /root/apply.out - /root/install.log - /root/install.log.syslog - /root/install_database_api.log - /root/migration-stats-*.yml - /root/once.log - /root/pre_firstboot_logs/partition-include - /root/pre_firstboot_logs/partitions_error - /root/pre_firstboot_logs/syslog - /var/lib/avdf/system_history.yaml - /var/log - /path/to/new/file - /path/to/new/*glob
ログに新しいコマンド出力を追加するには、適切なグループにコマンドを追加します。
:all_commands: :comment: Command output to include in the diagnostics package. :enabled: false :platform: - AVS - DBFW :commands: :cpuinfo: :enabled: true :command: - :cat - /proc/cpuinfo :logfile: /proc-cpuinfo.log :diskuse: :enabled: true :command: - :df - -kP :logfile: /disk-usage.log :new_command :enabled: true :command: - :new_command - -arg1 - -arg2 :logfile: /new-command.log
ノート:
使用されていない診断パッケージを削除するには、次のコマンドを実行します。
/usr/local/dbfw/bin/priv/dbfw-diagnostics-package.rb --remove