安全审计方法包括哪些内容 安全审计是做什么的

什么Oracle RAC？

RAC是real application clusters的缩写翻译过来就是“实时应用集群”。它是新版Oracle数据库采用的新技术是一种高可用性是Oracle数据库支持网络计算的核心技术。

Oracle RAC将具有以下IP地址

真实IP和VIP

:Oracle RAC中的每个节点都有一个虚拟IP简称VIP与真实IP在同一个网段。Vip连接到公共网络接口。

VIP和真实IP的主要区别在于VIP是浮动的而真实IP是固定的。当所有节点都正常运行时每个节点的VIP会被分配给网卡；在linux下看ifconfig公网卡上有2个IP地址；如果一个节点宕机该节点的VIP将被转移到仍在运行的节点。也就是说幸存节点的网卡上多了一个VIP。

Private-IP

:RAC中的专用IP用于心跳同步。对于用户级别这可以直接忽略。很好理解这个Ip是用来保证两台服务器之间的数据同步的属于RAC内部的通信。Priv和real IP不应该属于同一个接口。

scan-IP

:在Oracle 11 GR2之后引入了扫描的概念。扫描IP显示为新IP。scan ip实际上是oracle的客户端和数据库之间的一个新的连接层。当客户端访问时它连接到SCAN IPLISTENER。当SCAN IP LISTENER收到一个连接请求时它会根据算法将客户端的连接请求转发给相应实例上的VIP LISTENER从而完成客户端与服务器的连接过程。

简单描述一下Oracle RAC的访问流程:

客户端先访问Scan-IP然后Oracle会根据算法返回一个VIP给客户端客户端最后访问VIP进行业务访问。

下面是一个实际环境的简要说明:

网络拓扑如下:

Oracle db 1的环境如下:

192.168.10.181db01为真IP1。

192.168.10.182 db02为真IP2

192.168.10.183db01-vip是VIP1。

192.168.10.184db02-vip是VIP2。

192.168.20.181db01-priv是Private-IP。

168.20.182db02-priv是Private-IP。

192.168.10.180rac-scan是Scan-IP。

Oracle db 1接口的情况如下

下面可以看到RAC1的监控IP是服务提供IP一般是设备的VIP和真实IP。同样RAC2的监控IP是192.168.10.182和192.168.10.184所以我们需要注意每台设备的这两个IP。

(

PS

:这个时候我们会有一个疑问为什么提供2个IP进行监控？直接用真实的IP不是很好吗？？？

当没有VIP时Oracle客户端依靠“TCP/IP协议栈超时”来判断服务器故障。而TCP/IP协议栈是作为OS内核的一部分实现的不同的OS有不同的阈值用户学习数据库异常的时间完全取决于OS内核的实现。因此oracle RAC引入了VIP来避免TCP协议栈超时的依赖性。但是也有一部分客户是用VIP和真实IP的所以这是跟客户沟通他们的数据流是怎么沟通的。)

当RAC2挂起时VIP2浮动到RAC1。虽然VIP2浮动但是VIP2不会提供服务只有VIP1会提供服务scanIP也只会向客户端提供VIP1。

对于Oracle RAC环境DAS如何审计数据库访问记录？

镜像流量部署:

复制交换机的数据库流量镜像到审计设备进行审计。这种部署方法对用户数据库环境没有影响。建议在条件允许的情况下使用这种方法进行部署和配置。

代理部署:[/S2/]

当无法提供镜像端口时可以在数据库中部署代理。这种部署方式适用于云环境、虚拟环境、分散数据库等场景。与probe DAS建立连接捕获网络中的流量获取信息并发送给DAS设备进行审计。

对于DAS2.0.3及以下版本代理的配置文件是整个通信的物理接口。您可以在配置文件中配置物理接口以捕获物理接口的流量。

如果DAS版本DAS2.0.5及以上agent只能填写单个IP所以我们需要很好的了解客户的数据通信流程以及它使用哪个IP进行通信(VIP真实IP)。如果使用VIP或真实IP进行通信在配置文件中填写相应的IP以捕获流量；如果同时使用两个IP默认情况下不支持代理版本的DAS2.0.5。如果客户是这种情况请要求相应领域的可信赖的工程师提供。