Oracle RACでのファイアウォール設定

Deep Securityでは次の構成がサポートされます。

初期設定のLinux Server Deep SecurityポリシーはOracle RAC環境に対応していますが、ファイアウォールの設定だけは例外です。RAC環境は、RACノード間の通信チャネルが複雑なため、Deep Security Agentの初期設定のファイアウォール設定では一部のパケットがブロックされてしまうため機能しません。ファイアウォール自体を無効にするか、以下の手順に従ってファイアウォール設定をカスタマイズしてください。

ノード間の相互接続を許可するルールを追加する

  1. Deep Security Managerで、[ポリシー] タブに進みます。

  2. Linux Serverポリシーを選択し、[詳細] をクリックします。
    このドキュメントでは、初期設定の「Linux Server」ポリシーを編集します。実際に作業するときは、このポリシーのコピーを作成し、そのコピーをOracle RAC用にカスタマイズすることを推奨します。
  3. [ファイアウォール] をクリックします。

  4. [割り当て/割り当て解除] をクリックします。

  5. [新規]→[新規ファイアウォールルール] の順にクリックします。
  6. [一般情報] で、次のように設定します。
    • 処理: 強制的に許可
    • プロトコル: 任意
  7. [パケット送信元] で、次のように設定します。
    • IP: すべてのノードのプライベートIPアドレスをカンマで区切って入力
  8. [パケット送信先] で、次のように設定します。
    • IP: すべてのノードのプライベートIPアドレスをカンマで区切って入力

  9. [OK] をクリックします。
  10. ポリシーの [ファイアウォールルール] リストで、新しいルールが選択されていることを確認して [OK] をクリックし、[保存] をクリックします。

UDPポート42424を許可するルールを追加する

上記の手順に従って、UDPポート42424を許可する新しいルールを追加します。このポートは、Cluster Synchronization Serviceデーモン (CSSD)、Oracle Grid Interprocess Communicationデーモン (GIPCD)、およびOracle HA Servicesデーモン (OHASD) で使用されます。

Oracle SQL Serverルールが割り当てられていることを確認する

Linux Serverポリシーに「Oracle SQL Server」ファイアウォールルールが割り当てられていることを確認します。このルールは、Deep Securityで事前に定義されている、ポート1521を許可するファイアウォールルールです。

回避技術対策が「標準」に設定されていることを確認する

ネットワークエンジンの回避技術対策が初期設定の「標準」に設定されていることを確認します。この設定が「厳格」に設定されていると、RACデータベースの応答が非常に遅くなります。

その他のRAC関連パケットを許可する (オプション)

ほとんどの環境では上記の手順を実行すれば十分ですが、Oracle RACデータベースに関する問題が発生し、一部のパケットがファイアウォールイベントから破棄される場合は、次のファイアウォールルールを追加してみてください。

特定のポートを許可するファイアウォールルールを追加する必要があるRAC関連コンポーネントがシステムに含まれているかどうかは、次のリンクで確認してください。

https://docs.oracle.com/database/121/RILIN/ports.htm#RILIN1178