| Oracle® Audit Vault and Database Firewall管理者ガイド リリース12.2 E70392-19 |
|
 前 |
 次 |
Database Firewallのデプロイメントによっては、外部ネットワーク・ファイアウォールで次の2つのクラスのポートを開いておく必要があります。
Database Firewallでセキュア・ターゲット・データベースを保護する構成にする場合は、データベースに向かうトラフィックが外部ネットワーク・ファイアウォールを通過してDatabase Firewallに到達できる必要があります。必要なポートは、Audit Vault Serverのセキュア・ターゲットのページで構成されます。
プロキシ接続を許可してそれらの接続をデータベースに渡すように、Database Firewallを構成できます。プロキシ接続に必要なポートは、Database Firewallの「ネットワーク構成」ページで構成されます。
ノート:
これらのポートを変更しないことをお薦めします。
Oracle Audit Vault Serverによって提供されるサービスのポートについて学習します。
表D-1に、Oracle Audit Vault Serverによって提供されるサービスのポートを示します。これらのサービスは、システムの外部ユーザーによって使用されます。これらのほとんどのポートへのアクセスは、Oracle AVDF内で管理できます。外部ネットワーク・ファイアウォールを使用する場合は、これらのポートを開いて、これらのサービスのユーザーまたはクライアントからOracle Audit Vault Serverへの接続を有効にする必要があります。
表D-1 Audit Vault Serverによって提供されるサービス用のポート
| ポート | プロトコル・ファミリ | プロトコル | 用途 | ノート |
|---|---|---|---|---|
22 |
TCP |
SSH |
システムへのコマンドライン・アクセス |
デフォルトでは無効です。 |
161 |
UDP |
SNMP |
SNMPアクセス |
デフォルトでは無効です。 |
443 |
TCP |
HTTPS |
管理コンソール(Webインタフェース) |
なし |
1521 |
TCP |
Oracle Database |
Audit Vaultエージェントのためのアクセス、Oracle Databaseへのアクセス(レポート用) |
Audit Vault Agentは、Oracle Net Servicesのネイティブのデータ暗号化を使用します |
1522 |
TCPS |
Oracle Database |
Audit Vaultエージェントのためのアクセス、Oracle Databaseへのアクセス(レポート用) |
TCPSを使用します |
7443 |
TCP |
TCPS |
高可用性モードのAudit Vault Server。 |
高可用性が構成されている場合、プライマリおよびセカンダリのAudit Vault Serverの間です。 |
表D-2に、Database Firewallによって提供される一般サービス用のポートを示します。これらのサービスはシステムの外部ユーザーによって使用され、すべてのサービスへのアクセスはAudit Vault and Database Firewallシステム内で制御できます。外部ネットワーク・ファイアウォールが使用されている場合、これらのサービスのユーザー(クライアント)からAudit Vault and Database Firewallシステム内のDatabase Firewallへの接続を許可するため、これらのポートは開いている必要があります。
表D-2 Database Firewallによって提供されるサービス用のポート
| ポート | プロトコル・ファミリ | プロトコル | 用途 | ノート |
|---|---|---|---|---|
22 |
TCP |
SSH |
システムへのコマンドライン・アクセス |
デフォルトでは無効です。 |
161 |
UDP |
SNMP |
SNMPアクセス |
デフォルトでは無効です。 |
443 |
TCP |
HTTPS |
管理コンソール(Webインタフェース) |
なし |
2050 - 5100 |
TCP |
Audit Vault and Database Firewall内部プロトコル |
ホスト監視から取得される受信トラフィックホスト監視により、データがDatabase Firewallに安全に転送されます。 |
これを使用できるのは、ホスト監視モードでデプロイされており、アウト・オブ・バンド・モード、インライン・ブリッジ・モードまたはプロキシ・モードの間にポートをオープンする必要がない場合です。 強制ポイントごとに、指定された範囲内の一意のポートが作成されます。各強制ポイントの正確なポートは、
|
2050 - 5100 |
TCP |
Syslog |
受信WAF(F5)違反アラート |
強制ポイントで使用されるポート番号は、強制ポイントの「Advanced」設定ページで確認できます。 関連項目: |
表D-3に、Audit Vault Serverが使用する可能性のある外部サービス用のポートを示します。外部ネットワーク・ファイアウォールが使用されている場合、Audit Vault Serverでこれらのサービスをクライアントとして使用できるよう、関連ポートを開いておく必要があります。
表D-3 Audit Vault Serverによる外部ネットワーク・アクセスのためのポート
| ポート | プロトコル・ファミリ | プロトコル | 用途 | ノート |
|---|---|---|---|---|
25 |
TCP |
SMTP |
電子メール配信 |
なし |
53 |
UDP |
DNS |
ドメイン名サービス |
なし |
123 |
UDPおよびTCP |
NTP |
時間の同期 |
なし |
514 |
UDP、またはTCPとして構成 |
Syslog |
syslogアラート |
syslogサーバーへのTCPトランスポート接続の場合、Audit Vault Serverコンソールでポートを構成する必要があります。 関連項目: |
3260 |
TCP |
ソフトウェアiSCSI |
SANサーバー通信 |
このポートは、SANサーバーの登録時にAudit Vault Serverコンソールで構成できます。 関連項目: |
セキュア・ターゲット・リスナー・ポート。 セキュア・ターゲットの場所で指定されているポートと同じです。 |
Oracle Database |
TCPまたはTCPS |
ユーザー権限レポート ストアド・プロシージャ監査 監査ポリシーの取得 |
Audit Vault Serverとセキュア・ターゲットの間の直接接続。 接続の詳細が、使用したセキュア・ターゲットの場所とともに提供されます。 |
関連項目:
サポートされるセキュア・ターゲット・タイプの完全なリストについては、すぐに使用できるプラグインの一覧を参照してください。
表D-4では、Database Firewallで使用できる外部サービス用のポートを示しています。外部ネットワーク・ファイアウォールが使用されている場合、Database Firewallでこれらのサービスをクライアントとして使用できるよう、関連ポートを開いておく必要があります。
表D-4 Database Firewallによる外部ネットワーク・アクセスのためのポート
| ポート | プロトコル・ファミリ | プロトコル | 用途 | ノート |
|---|---|---|---|---|
53 |
UDP |
DNS |
ドメイン名サービス |
なし |
123 |
UDPおよびTCP |
NTP |
時間の同期 |
なし |
514 |
UDP、またはTCPとして構成 |
Syslog |
syslogアラート |
syslogサーバーへのTCPトランスポート接続の場合、Audit Vault Serverコンソールでポートを構成する必要があります。 |
514 |
TCP |
WAF (F5)アラート |
WAF (F5)アラート |
ポートはAudit Vault Serverコンソールで変更できます。 |
Oracle Database FirewallとOracle Audit Vault Serverの間の内部TCP通信のポートについて学習します。
表D-5に、Oracle Database FirewallとOracle Audit Vault Serverの間で使用されるサービスのポートを示します。これらのシステム間で外部ネットワーク・ファイアウォールを構成する場合は、関連するポートを開く必要があります。
表D-5 内部TCP通信用ポート
| ポート | プロトコル・ファミリ | プロトコル | 方向 | ノート |
|---|---|---|---|---|
7443 |
TCP |
HTTPS |
|
これは、アプライアンス間の通信用のデフォルトのポートです。Audit Vault ServerとDatabase Firewallの両方に適用されます。また、Database Firewallからのトラフィック・ログ転送も処理します。 |
1514 |
TCP |
SSL |
Oracle Audit Vault ServerがDatabase Firewallからの接続を受け入れる |
イベントのレポートおよび監視 |
