1. 管理者ガイド
  2. Oracle Audit Vault and Database Firewallの開始
  3. Oracle RACでのOracle Database Firewallの使用

11 Oracle RACでのOracle Database Firewallの使用

Oracle Real Application Clusters (Oracle RAC)で使用できるようにOracle Database Firewallを構成すると、文をブロックおよび置換したり、SQL文をロギングしてアラートを生成できます。

11.1 監視およびブロックのためのOracle RACを使用したDatabase Firewallの構成

監視およびブロックのためにOracle Real Application Clusters (Oracle RAC)を使用したDatabase Firewallを構成する方法を学習します。

11.1.1 監視およびブロックのためのOracle RACを使用したDatabase Firewallの構成について

Oracle Database Firewallには、Oracle RACで使用できる監視およびブロック機能があります。

ブロックを使用するには、モニタリング/ブロック(プロキシ)モードを使用する必要があります。

Database Firewallがモニタリング/ブロック(プロキシ)モードで構成されている場合、次のようになります。

  1. SQLクライアントがDatabase Firewallに接続します。
  2. Database FirewallがSCANリスナーに接続します。
  3. SCANリスナーは、RACノードへ接続をリダイレクトします。
  4. Database Firewallでリダイレクトが処理され、リダイレクトされたRACノードへのアウトバウンド接続が行われます。
  5. Oracle RACノードからのレスポンスがクライアントに渡されます。

注意:

Oracle RACで保護されたデータベースをスキャン・リスナーとして設定する場合は、そのデータベースをターゲットとして登録するときに「RACインスタンス / Autonomous DB」チェック・ボックスも選択する必要があります。ターゲットをRACデータベースとして特定しない場合は、スキャン・リスナーによってクライアントが別のIPアドレスにリダイレクトされて、Database Firewall全体がバイパスされる可能性があります。

手順については、「ターゲットの登録」を参照してください。

11.1.2 Audit Vault Serverコンソールを使用したプロキシの構成

Oracle Audit Vault Serverコンソールを使用してプロキシを構成できます。

  1. Audit Vault Serverコンソールに管理者としてログインします。
  2. 「トラフィック・プロキシとしてのDatabase Firewallの構成」のステップを実行します。
  3. 「Database Firewallモニタリング・ポイントの作成および構成」のステップを実行します。
    「接続の詳細」セクションで、必ずRACインスタンス/Autonomous DBチェック・ボックス(Oracle AVDF 20.7以前では「RACインスタンス」チェック・ボックス)を選択してください。
  4. 「ネットワーク・インタフェース・カード」および「プロキシ・ポート」フィールドが選択されていることを確認します。これらを選択すると、RACインスタンス/Autonomous DBチェック・ボックス(Oracle AVDF 20.7以前では「RACインスタンス」チェック・ボックス)が有効になります。
  5. RACインスタンス/Autonomous DBチェック・ボックス(Oracle AVDF 20.7以前では「RACインスタンス」チェック・ボックス)を選択し、「ホスト名 / IPアドレス」フィールドにSCAN完全修飾ドメイン名(FQDN)を追加すると、次のメッセージが表示されます。
    SCANリスナー・ドメイン名をターゲットとして構成します。詳細は、Real Application Clustersインストレーション・ガイドを参照してください。

    図11-1 接続の詳細

    図11-1の説明が続きます
    「図11-1 接続の詳細」の説明
  6. 「ホスト名 / IPアドレス」にSCAN FQDNが入力されていることを確認します。
  7. SCANリスナーのポート番号を入力します。
  8. サービス名またはSID (オプション)を入力します。
  9. 「追加」をクリックします。
  10. ダイアログで「保存」をクリックします。
  11. メイン・ページで「保存」をクリックします。ターゲットが作成され、メイン・ページの「データベース・ファイアウォール・モニタリング」サブタブの下に表示されます。
  12. 新しく作成したRACターゲットをクリックして、詳細を確認します。

11.2 監視のためのOracle RACを使用したDatabase Firewallの構成

ホスト監視モードおよび帯域外デプロイメント・モードを使用するようにOracle RACを使用したOracle Database Firewallを構成できます。

次のいずれかのデプロイメント・モードで、Oracle RACを使用したOracle Database Firewallを構成することをお薦めします。

  • 監視(帯域外) - このデプロイメント・モードでは、Oracle Database FirewallはSQLトラフィックの監視およびアラートは実行できますが、SQL文のブロックまたは置換はできません。すべてのRACノードのIPアドレスを使用してモニタリング・ポイントを作成します。モニタリング・ポイントの作成時にのみこのオプションを選択します。

  • モニタリング(ホスト監視) - このデプロイメント・モードでは、Oracle Database FirewallはSQLトラフィックの監視およびアラートは実行できますが、SQL文のブロックまたは置換はできません。このデプロイメント・モードの場合、各RACノードにホスト監視エージェントをインストールし、各RACノードのモニタリング・ポイントを作成します。モニタリング・ポイントの作成時にのみこのオプションを選択します。

ノート:

「Database Firewallモニタリング・ポイントの作成および構成」のステップを実行します。このプロシージャを実行するときは、前述のようにデプロイメント・モードを選択してください。