--==========================
-- 配置sqlnet.ora 限制IP訪問Oracle
--==========================

?? ?與防火墻類似的功能，Oracle 提供限制與允許特定的IP或主機名通過Oracle Net來訪問數據庫。這個功能由sqlnet.ora配置文件來實
現。該文件通常$ORACLE_HOME/network/admin/ 目錄下，與tnsnames.ora以及listener.ora位于同一路徑。用法也比較簡單。通過監聽器的
限制，實現輕量級訪問限制，比在數據庫內部通過觸發器進行限制效率要高。

1. 實現方式
?? ?通過在sqlnet.ora文件中增加下列記錄來實現?? ???

tcp.validnode_checking = yes tcp.invited_nodes = (hostname1, hostname2，ip1,ip2) tcp.excluded_nodes = (10.103.11.17,hostname1,hostname2)

??? 當使用invited_nodes時，則所有沒有包含在invited_nodes值中的IP或主機將無法通過Oracel Net連接到數據庫。而如果使用
?? ?excluded_nodes時，除了excluded_nodes值中列出的IP和主機不可訪問之外，其余的節點都可以訪問數據庫。通常情況下，更傾向于使
?? ?用excluded_nodes參數。

2. 注意事項
?? ?使用excluded_nodes與invited_nodes的一些特性
?? ??? ?不支持通配符的使用(如hostname不能寫為svhs0*，IP地址不能寫為10.103.11.*）
?? ??? ?excluded_nodes與invited_nodes為互斥方式，要么使用前者，要么使用后者
?? ??? ?如果tcp.invited_nodes與tcp.excluded_nodes都存在，則tcp.invited_nodes優先
?? ??? ?要將本地地址，或者Cluster群集其他節點的地址都加入到允許列表，否則監聽器可能無法啟動
?? ??? ?修改之后，一定要重起監聽或reload才能生效，而不需要重新啟動數據庫
?? ??? ?僅提供對TCP/IP協議的支持

3. 實戰演習? ??

-->使用tnsping demo92，連接正常 C:\>tnsping demo92 TNS Ping Utility for 32-bit Windows: Version 11.2.0.1.0 - Production on 25-JUN-2011 18:55:39 Copyright (c) 1997, 2010, Oracle. All rights reserved. Used parameter files: d:\app\Robinson\Oracle_client\product\11.2.0\client_1\network\admin\sqlnet.ora Used TNSNAMES adapter to resolve the alias Attempting to contact (DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (PROTOCOL = TCP)(HOST = 10.103.11.20 9)(PORT = 1521))) (CONNECT_DATA = (SERVER = DEDICATED) (SERVICE_NAME = demo92))) OK (0 msec) -->查看配置文件 [oracle@test admin]$ more sqlnet.ora # SQLNET.ORA Network Configuration File: /oracle/92/network/admin/sqlnet.ora # Generated by Oracle configuration tools. NAMES.DIRECTORY_PATH= (ONAMES, TNSNAMES, HOSTNAME) #Added by Robinson tcp.validnode_checking = yes tcp.excluded_nodes = (10.103.11.17) -->重新reload [oracle@test admin]$ lsnrctl reload listener_demo92 LSNRCTL for Linux: Version 9.2.0.8.0 - Production on 26-JUN-2011 10:03:11 Copyright (c) 1991, 2006, Oracle Corporation. All rights reserved. Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=test)(PORT=1521))) The command completed successfully -->再次tnsping時，收到TNS-12547錯誤 C:\>tnsping demo92 TNS Ping Utility for 32-bit Windows: Version 11.2.0.1.0 - Production on 25-JUN-2011 19:01:21 Copyright (c) 1997, 2010, Oracle. All rights reserved. Used parameter files: d:\app\Robinson\Oracle_client\product\11.2.0\client_1\network\admin\sqlnet.ora Used TNSNAMES adapter to resolve the alias Attempting to contact (DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (PROTOCOL = TCP)(HOST = 10.103.11.20 9)(PORT = 1521))) (CONNECT_DATA = (SERVER = DEDICATED) (SERVICE_NAME = demo92))) TNS-12547: TNS:lost contact -->下面的演示中如果excluded_nodes與invited_nodes都存在，則invited_nodes優先，不再演示 [oracle@test admin]$ more sqlnet.ora # SQLNET.ORA Network Configuration File: /oracle/92/network/admin/sqlnet.ora # Generated by Oracle configuration tools. NAMES.DIRECTORY_PATH= (ONAMES, TNSNAMES, HOSTNAME) #Added by Robinson tcp.validnode_checking = yes tcp.excluded_nodes = (10.103.11.17) tcp.invited_nodes = (10.103.11.17)

4.使用觸發器限制單用戶或IP段 ???

-->限制單用戶從單IP登錄，下面限制scott用戶從客戶端的登錄 CREATE OR REPLACE TRIGGER disablelogin AFTER logon ON scott.schema -->注意使用方式為username.schema DECLARE ipaddr VARCHAR2(30); BEGIN SELECT sys_context('userenv', 'ip_address') INTO ipaddr FROM dual; IF ipaddr = '10.103.11.17' THEN raise_application_error('-20001', 'You can not login,Please contact administrator'); END IF; END disablelogin; / -->限制IP段登錄 CREATE OR REPLACE TRIGGER chk_ip_range AFTER logon ON scott.schema DECLARE ipaddr VARCHAR2(30); BEGIN SELECT sys_context('userenv', 'ip_address') INTO ipaddr FROM dual; IF ipaddr LIKE ('10.103.11.%') THEN raise_application_error('-20001', 'You can not login,Please contact administrator'); END IF; END chk_ip_range; /

5.更多參考

http://psoug.org/reference/net_services.html

http://forums.oracle.com/forums/thread.jspa?messageID=4566449

6.快捷參考

有關性能優化請參考

??? Oracle硬解析與軟解析

??? 共享池的調整與優化(Sharedpool Tuning)

??? Buffercache 的調整與優化(一)

??? Oracle表緩存(cachingtable)的使用

?

有關ORACLE體系結構請參考

??? Oracle表空間與數據文件

??? Oracle密碼文件

??? Oracle參數文件

??? Oracle聯機重做日志文件(ONLINE LOG FILE)

??? Oracle控制文件(CONTROLFILE)

? ?? Oracle歸檔日志

??? Oracle回滾(ROLLBACK)和撤銷(UNDO)

??? Oracle數據庫實例啟動關閉過程

??? Oracle10g SGA 的自動化管理

??? Oracle實例和Oracle數據庫(Oracle體系結構)

?

有關閃回特性請參考

??? Oracle閃回特性(FLASHBACK DATABASE)

??? Oracle閃回特性(FLASHBACK DROP & RECYCLEBIN)

??? Oracle閃回特性(Flashback Query、FlashbackTable)

??? Oracle閃回特性(Flashback Version、Flashback Transaction)

?

有關基于用戶管理的備份和備份恢復的概念請參考

??? Oracle冷備份

??? Oracle熱備份

??? Oracle備份恢復概念

??? Oracle實例恢復

??? Oracle基于用戶管理恢復的處理 (詳細描述了介質恢復及其處理)

??? SYSTEM表空間管理及備份恢復

??? SYSAUX表空間管理及恢復

?

有關RMAN的備份恢復與管理請參考

??? RMAN 概述及其體系結構

??? RMAN 配置、監控與管理

??? RMAN 備份詳解

??? RMAN 還原與恢復

??? RMANcatalog 的創建和使用

??? 基于catalog 創建RMAN存儲腳本

基于catalog 的RMAN 備份與恢復

使用RMAN遷移文件系統數據庫到ASM

??? RMAN 備份路徑困惑(使用plus archivelog時)

?

有關ORACLE故障請參考

??? ORA-32004的錯誤處理

??? ORA-01658錯誤

??? CRS-0215錯誤處理

??? ORA-00119，ORA-00132 錯誤處理

??? 又一例SPFILE設置錯誤導致數據庫無法啟動

??? 對參數FAST_START_MTTR_TARGET= 0 的誤解及設定

??? SPFILE錯誤導致數據庫無法啟動(ORA-01565)

?

有關ASM請參考

??? 創建ASM實例及ASM數據庫

??? ASM 磁盤、目錄的管理

??? 使用 ASMCMD 工具管理ASM目錄及文件

?

有關SQL/PLSQL請參考

??? SQLPlus常用命令

??? 替代變量與SQL*Plus環境設置

??? 使用Uniread實現SQLplus翻頁功能

??? SQL 基礎 -->SELECT 查詢

??? SQL 基礎 --> NEW_VALUE的使用

??? SQL 基礎 --> 集合運算(UNION與UNION ALL)

??? SQL 基礎 --> 常用函數

??? SQL 基礎 --> 視圖(CREATEVIEW)

??? SQL 基礎 --> 創建和管理表

??? SQL 基礎 --> 多表查詢

??? SQL 基礎 --> 過濾和排序

??? SQL 基礎 --> 子查詢

??? SQL 基礎 --> 分組與分組函數

??? SQL 基礎 --> 層次化查詢(STARTBY ... CONNECT BY PRIOR)

??? SQL 基礎 --> ROLLUP與CUBE運算符實現數據匯總

??? PL/SQL --> 游標

??? PL/SQL --> 異常處理(Exception)

??? PL/SQL --> 語言基礎

??? PL/SQL --> 流程控制

??? PL/SQL --> PL/SQL記錄

??? PL/SQL --> 包的創建與管理

??? PL/SQL --> 隱式游標(SQL%FOUND)

??? PL/SQL --> 包重載、初始化

??? PL/SQL --> DBMS_DDL包的使用

??? PL/SQL --> DML 觸發器

??? PL/SQL --> INSTEAD OF 觸發器

??? PL/SQL --> 存儲過程

??? PL/SQL --> 函數

??? PL/SQL --> 動態SQL

??? PL/SQL --> 動態SQL的常見錯誤

?

有關ORACLE其它特性

??? Oracle常用目錄結構(10g)

??? 使用OEM,SQL*Plus,iSQL*Plus 管理Oracle實例

??? 日志記錄模式(LOGGING、FORCE LOGGING 、NOLOGGING)

??? 表段、索引段上的LOGGING與NOLOGGING

??? OralceOMF 功能詳解

??? Oracle用戶、對象權限、系統權限 ?

??? Oracle角色、配置文件

??? Oracle分區表

??? Oracle外部表

??? 使用外部表管理Oracle 告警日志(ALAERT_$SID.LOG)

??? 簇表及簇表管理(Index clustered tables)

??? 數據泵 EXPDP 導出工具的使用

??? 數據泵 IMPDP 導入工具的使用

??? 導入導出 Oracle 分區表數據

??? SQL*Loader使用方法

??? 啟用用戶進程跟蹤

??? 配置非默認端口的動態服務注冊

??? 配置ORACLE 客戶端連接到數據庫

??? systemsys，sysoper sysdba 的區別

??? ORACLE_SID、DB_NAME、INSTANCE_NAME、DB_DOMIAN、GLOBAL_NAME

??? Oracle補丁全集 (Oracle 9i 10g 11g Path)

??? Oracle10.2.0.1 升級到10.2.0.4

??? Oracle徹底 kill session

配置sqlnet.ora限制IP訪問Oracle