ORACLE 限制特定IP访问数据库 访问白名单
2012-08-05 09:49
302 查看
限制指定机器IP访问oracle数据库通过使用数据库服务器端的sqlnet.ora文件可以实现禁止指定IP主机访问数据库的功能,这对于提升数据库的安全性有很大的帮助,与此同时,这个技术为我们管理和约束数据库访问控制提供了有效的手段。下面是实现这个目的的具体步骤仅供参考:1.默认的服务器端sqlnet.ora文件的内容# sqlnet.ora Network Configuration File: D:\Server\Oracle\Product\11.2.0\dbhome_1\network\admin\sqlnet.ora
# Generated by Oracle configuration tools.# This file is actually generated by netca. But if customers choose to
# install "Software Only", this file wont exist and without the native
# authentication, they will not be able to connect to the database on NT.SQLNET.AUTHENTICATION_SERVICES= (NTS)NAMES.DIRECTORY_PATH= (TNSNAMES)2.确认客户端的IP地址:
C:\Documents and Settings\Administrator>ipconfig
3.在客户端分别使用tnsping命令和sqlplus命令来验证数据库的连通性:
C:\Documents and Settings\Administrator>tnsping irmdb
C:\Documents and Settings\Administrator>sqlplus /nolog到这里说明在客户端两种方式都证明的数据库的可连通性。4.限制客户端IP地址9.123.112.16对当前irmdb数据库的访问:我们只需要在服务器端的sqlnet.ora文件中添加下面的内容即可。# sqlnet.ora Network Configuration File: D:\Server\Oracle\Product\11.2.0\dbhome_1\network\admin\sqlnet.ora
# Generated by Oracle configuration tools.# This file is actually generated by netca. But if customers choose to
# install "Software Only", this file wont exist and without the native
# authentication, they will not be able to connect to the database on NT.SQLNET.AUTHENTICATION_SERVICES= (NTS)NAMES.DIRECTORY_PATH= (TNSNAMES)tcp.validnode_checking=yes
tcp.invited_nodes=(9.123.112.34)
tcp.excluded_nodes=(9.123.112.16)第一行的含义:开启IP限制功能;
第二行的含义:允许访问数据库的IP地址列表,多个IP地址使用逗号分开,此例中我们写入数据库服务器的IP地址;
第三行的含义:禁止访问数据库的IP地址列表,多个IP地址使用逗号分开,此处我们写入欲限制的IP地址9.123.112.16。
5.重新启服务器端listener后生效(这里也可以通过lsnrctl reload方式实现):
C:\Documents and Settings\Administrator>lsnrctl stop
1)在9i中真正起作用的是sqlnet.ora文件,我们修改sqlnet.ora其实是最好最快的方法。在soracle\product\10.2.0\db_1\network\ADMIN\qlnet.ora中增加如下部分
tcp.validnode_checking=yes#允许访问的IPtcp.invited_nodes=(ip1,ip2……)#禁止访问的IP
tcp.excluded_nodes=(ip1,ip2……)之后重新启动监听器即可需要注意的地方:
1、tcp.invited_nodes与tcp.excluded_nodes都存在,以tcp.invited_nodes为主
2、一定要许可或不要禁止服务器本机的IP地址,否则通过lsnrctl将不能启动或停止监听,因为该过程监听程序会通过本机的IP访问监听器,而该IP被禁止了,但是通过服务启动或关闭则不影响。
3、修改之后,一定要重起监听才能生效,而不需要重新启动数据库
4、任何平台都可以,但是只适用于TCP/IP协议(2)第二种方法使用触发器实现1、这个触发器实现了192.168.137开始的IP不能访问test用户的功能
create or replace trigger chk_ip
after logon on test.schema
declare
ipaddr VARCHAR2(30);
begin
select sys_context('userenv', 'ip_address') into ipaddr from dual;
if ipaddr like ('192.168.137.%') then
raise_application_error('-20001', 'you can not logon by test');
end if;
end ;
/
过对oracle9i参数文件的设置,可以控制访问计算机的ip地址。在172.28.65.13这台机器上的配置文件$ORACLE_HOME/network/sqlnet.ora中增加:#开启对ip地址的检查tcp.validnode_checking=yes#允许访问的iptcp.invited_nodes=(172.28.65.13)#禁止访问的ipip.excluded_nodes= (172.27.65.15)重启监听!$ lsnrctl reloadLSNRCTL for Solaris: Version 9.2.0.4.0 - Production on 14-DEC-2005 16:59:19Copyright (c) 1991, 2002, Oracle Corporation. All rights reserved.Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=IPC)(KEY=EXTPROC0)))
The command completed successfully.在172.28.65.15这台机器上编辑$ORACLE_HOME/network/admin/tnsnames.ora文件:此处可以添加新的服务(dsf):dsf =
(DESCRIPTION =
(ADDRESS = (PROTOCOL = TCP)(Host= 172.28.65.13)(Port = 1521))
(CONNECT_DATA = (SID = ORCL))
)在15上进行tnsping测试:$ tnsping dsfTNS Ping Utility for Solaris: Version 9.2.0.4.0 - Production on 14-DEC-2005 17:04:02Copyright (c) 1997 Oracle Corporation. All rights reserved.Used parameter files:Used TNSNAMES adapter to resolve the alias
Attempting to contact (DESCRIPTION = (ADDRESS = (PROTOCOL = TCP)(Host= 172.28.65.13)(Port = 1521)) (CONNECT_DATA = (SID = ORCL)))
TNS-12537: TNS:connection closed连接测试:$ sqlplus wacos/oss@dsfSQL*Plus: Release 9.2.0.4.0 - Production on Wed Dec 14 17:04:24 2005Copyright (c) 1982, 2002, Oracle Corporation. All rights reserved.ERROR:
ORA-12537: TNS:connection closed
-------------------------------------------------------------------------------------------------------------------
TCP.VALIDNODE_CHECKING,这个参数必须设置,值也必须是YES,否则就是不启用TCP.VALIDNODE_CHECKING=YES白名单的设置参数,这个地址列表中必须包含本机的地址,不然监听可能要启动失败TCP.INVITED_NODES=(10.10.2.100,10.10.2.101)
黑名单的设置参数:TCP.EXCLUDED_NODES=(10.10.1.100)
另外对于sqlnet.sql 文件最后做一个简单的总结:
1、在windows下,SQLNET.AUTHENTICATION_SERVICES必须设置为NTS或者ALL才能使用OS认证;不设置或者设置为其他任何值都不能使用OS认证。
2、在linux下,在SQLNET.AUTHENTICATION_SERVICES的值设置为ALL,或者不设置的情况下,OS验证才能成功;设置为其他任何值都不能使用OS认证。
# Generated by Oracle configuration tools.# This file is actually generated by netca. But if customers choose to
# install "Software Only", this file wont exist and without the native
# authentication, they will not be able to connect to the database on NT.SQLNET.AUTHENTICATION_SERVICES= (NTS)NAMES.DIRECTORY_PATH= (TNSNAMES)2.确认客户端的IP地址:
C:\Documents and Settings\Administrator>ipconfig
3.在客户端分别使用tnsping命令和sqlplus命令来验证数据库的连通性:
C:\Documents and Settings\Administrator>tnsping irmdb
C:\Documents and Settings\Administrator>sqlplus /nolog到这里说明在客户端两种方式都证明的数据库的可连通性。4.限制客户端IP地址9.123.112.16对当前irmdb数据库的访问:我们只需要在服务器端的sqlnet.ora文件中添加下面的内容即可。# sqlnet.ora Network Configuration File: D:\Server\Oracle\Product\11.2.0\dbhome_1\network\admin\sqlnet.ora
# Generated by Oracle configuration tools.# This file is actually generated by netca. But if customers choose to
# install "Software Only", this file wont exist and without the native
# authentication, they will not be able to connect to the database on NT.SQLNET.AUTHENTICATION_SERVICES= (NTS)NAMES.DIRECTORY_PATH= (TNSNAMES)tcp.validnode_checking=yes
tcp.invited_nodes=(9.123.112.34)
tcp.excluded_nodes=(9.123.112.16)第一行的含义:开启IP限制功能;
第二行的含义:允许访问数据库的IP地址列表,多个IP地址使用逗号分开,此例中我们写入数据库服务器的IP地址;
第三行的含义:禁止访问数据库的IP地址列表,多个IP地址使用逗号分开,此处我们写入欲限制的IP地址9.123.112.16。
5.重新启服务器端listener后生效(这里也可以通过lsnrctl reload方式实现):
C:\Documents and Settings\Administrator>lsnrctl stop
1)在9i中真正起作用的是sqlnet.ora文件,我们修改sqlnet.ora其实是最好最快的方法。在soracle\product\10.2.0\db_1\network\ADMIN\qlnet.ora中增加如下部分
tcp.validnode_checking=yes#允许访问的IPtcp.invited_nodes=(ip1,ip2……)#禁止访问的IP
tcp.excluded_nodes=(ip1,ip2……)之后重新启动监听器即可需要注意的地方:
1、tcp.invited_nodes与tcp.excluded_nodes都存在,以tcp.invited_nodes为主
2、一定要许可或不要禁止服务器本机的IP地址,否则通过lsnrctl将不能启动或停止监听,因为该过程监听程序会通过本机的IP访问监听器,而该IP被禁止了,但是通过服务启动或关闭则不影响。
3、修改之后,一定要重起监听才能生效,而不需要重新启动数据库
4、任何平台都可以,但是只适用于TCP/IP协议(2)第二种方法使用触发器实现1、这个触发器实现了192.168.137开始的IP不能访问test用户的功能
create or replace trigger chk_ip
after logon on test.schema
declare
ipaddr VARCHAR2(30);
begin
select sys_context('userenv', 'ip_address') into ipaddr from dual;
if ipaddr like ('192.168.137.%') then
raise_application_error('-20001', 'you can not logon by test');
end if;
end ;
/
过对oracle9i参数文件的设置,可以控制访问计算机的ip地址。在172.28.65.13这台机器上的配置文件$ORACLE_HOME/network/sqlnet.ora中增加:#开启对ip地址的检查tcp.validnode_checking=yes#允许访问的iptcp.invited_nodes=(172.28.65.13)#禁止访问的ipip.excluded_nodes= (172.27.65.15)重启监听!$ lsnrctl reloadLSNRCTL for Solaris: Version 9.2.0.4.0 - Production on 14-DEC-2005 16:59:19Copyright (c) 1991, 2002, Oracle Corporation. All rights reserved.Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=IPC)(KEY=EXTPROC0)))
The command completed successfully.在172.28.65.15这台机器上编辑$ORACLE_HOME/network/admin/tnsnames.ora文件:此处可以添加新的服务(dsf):dsf =
(DESCRIPTION =
(ADDRESS = (PROTOCOL = TCP)(Host= 172.28.65.13)(Port = 1521))
(CONNECT_DATA = (SID = ORCL))
)在15上进行tnsping测试:$ tnsping dsfTNS Ping Utility for Solaris: Version 9.2.0.4.0 - Production on 14-DEC-2005 17:04:02Copyright (c) 1997 Oracle Corporation. All rights reserved.Used parameter files:Used TNSNAMES adapter to resolve the alias
Attempting to contact (DESCRIPTION = (ADDRESS = (PROTOCOL = TCP)(Host= 172.28.65.13)(Port = 1521)) (CONNECT_DATA = (SID = ORCL)))
TNS-12537: TNS:connection closed连接测试:$ sqlplus wacos/oss@dsfSQL*Plus: Release 9.2.0.4.0 - Production on Wed Dec 14 17:04:24 2005Copyright (c) 1982, 2002, Oracle Corporation. All rights reserved.ERROR:
ORA-12537: TNS:connection closed
-------------------------------------------------------------------------------------------------------------------
TCP.VALIDNODE_CHECKING,这个参数必须设置,值也必须是YES,否则就是不启用TCP.VALIDNODE_CHECKING=YES白名单的设置参数,这个地址列表中必须包含本机的地址,不然监听可能要启动失败TCP.INVITED_NODES=(10.10.2.100,10.10.2.101)
黑名单的设置参数:TCP.EXCLUDED_NODES=(10.10.1.100)
另外对于sqlnet.sql 文件最后做一个简单的总结:
1、在windows下,SQLNET.AUTHENTICATION_SERVICES必须设置为NTS或者ALL才能使用OS认证;不设置或者设置为其他任何值都不能使用OS认证。
2、在linux下,在SQLNET.AUTHENTICATION_SERVICES的值设置为ALL,或者不设置的情况下,OS验证才能成功;设置为其他任何值都不能使用OS认证。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- ORACLE 限制特定IP访问数据库 访问白名单
- ORACLE 限制特定IP访问数据库 访问白名单
- ORACLE 限制特定IP访问数据库 访问白名单
- ORACLE 限制特定IP访问数据库 访问白名单
- ORACLE 限制特定IP访问数据库
- ORACLE 限制特定IP访问数据库
- 限制特定ip访问oracle
- 限制特定IP访问数据库
- 限制特定IP访问数据库
- 限制特定IP访问数据库
- oracle限定特定IP访问数据库
- 限制特定IP访问数据库
- ORACLE限制IP访问数据库
- 配置sqlnet.ora限制IP访问Oracle
- Apache中限制和允许特定IP访问
- Oracle更改默认端口号,加密监听器,限制ip访问
- 限制特定IP访问【BLOCKING BY SPECIFICALLY IP ADDRESS】
- 关于数据库中对用户访问数据库的IP限制
- [摘]Oracle限制某个数据库帐号只能在特定机器上连入数据库
- Oracle如何限制固定IP的访问