11 Oracle RACでのOracle Database Firewallの使用
Oracle Real Application Clusters (Oracle RAC)で使用できるようにOracle Database Firewallを構成すると、文をブロックおよび置換したり、SQL文をロギングしてアラートを生成できます。
11.1 監視およびブロックのためのOracle RACを使用したDatabase Firewallの構成
監視およびブロックのためにOracle Real Application Clusters (Oracle RAC)を使用したDatabase Firewallを構成する方法を学習します。
11.1.1 監視およびブロックのためのOracle RACを使用したDatabase Firewallの構成について
Oracle Database Firewallには、Oracle RACで使用できる監視およびブロック機能があります。
ブロックを使用するには、モニタリング/ブロック(プロキシ)モードを使用する必要があります。
Database Firewallがモニタリング/ブロック(プロキシ)モードで構成されている場合、次のようになります。
- SQLクライアントがDatabase Firewallに接続します。
- Database FirewallがSCANリスナーに接続します。
- SCANリスナーは、RACノードへ接続をリダイレクトします。
- Database Firewallでリダイレクトが処理され、リダイレクトされたRACノードへのアウトバウンド接続が行われます。
- Oracle RACノードからのレスポンスがクライアントに渡されます。
注意:
Oracle RACで保護されたデータベースをスキャン・リスナーとして設定する場合は、そのデータベースをターゲットとして登録するときに「RACインスタンス / Autonomous DB」チェック・ボックスも選択する必要があります。ターゲットをRACデータベースとして特定しない場合は、スキャン・リスナーによってクライアントが別のIPアドレスにリダイレクトされて、Database Firewall全体がバイパスされる可能性があります。
手順については、「ターゲットの登録」を参照してください。
11.2 監視のためのOracle RACを使用したDatabase Firewallの構成
ホスト監視モードおよび帯域外デプロイメント・モードを使用するようにOracle RACを使用したOracle Database Firewallを構成できます。
次のいずれかのデプロイメント・モードで、Oracle RACを使用したOracle Database Firewallを構成することをお薦めします。
-
監視(帯域外) - このデプロイメント・モードでは、Oracle Database FirewallはSQLトラフィックの監視およびアラートは実行できますが、SQL文のブロックまたは置換はできません。すべてのRACノードのIPアドレスを使用してモニタリング・ポイントを作成します。モニタリング・ポイントの作成時にのみこのオプションを選択します。
- モニタリング(ホスト監視) - このデプロイメント・モードでは、Oracle Database FirewallはSQLトラフィックの監視およびアラートは実行できますが、SQL文のブロックまたは置換はできません。このデプロイメント・モードの場合、各RACノードにホスト監視エージェントをインストールし、各RACノードのモニタリング・ポイントを作成します。モニタリング・ポイントの作成時にのみこのオプションを選択します。
ノート:
「Database Firewallモニタリング・ポイントの作成および構成」のステップを実行します。このプロシージャを実行するときは、前述のようにデプロイメント・モードを選択してください。