Oracle RAC 的防火墙设置

趋势科技服务器深度安全防护系统支持：

• SUSE Linux Enterprise Server 11 SP3 和 Oracle RAC 12c Release 1 (v12.1.0.2.0)
• Red Hat Linux Enterprise Server 6.6 和 Oracle RAC 12c Release 1 (v12.1.0.2.0)

缺省 Linux 服务器趋势科技服务器深度安全防护系统策略与 Oracle RAC 环境兼容，但防火墙设置除外。由于 RAC 节点之间的通信通道比较复杂，RAC 环境将不使用缺省的趋势科技服务器深度安全防护系统客户端防火墙设置，否则有些数据包会被阻止。您可以禁用防火墙，也可以按下文所述定制防火墙设置。

添加规则以允许节点之间进行互连

1. 在趋势科技服务器深度安全防护系统管理中心中，转至策略选项卡。



2. 选择“Linux 服务器”策略并单击详细信息。
   在本文档中，我们将编辑缺省的“Linux 服务器”策略。更好的做法是创建并定制该策略副本，以便用于 Oracle RAC。
3. 单击防火墙。



4. 单击分配/取消分配。



5. 单击新建 > 新建防火墙规则。
6. 在常规信息下，应用以下设置：
   • 操作：强制允许
   • 协议：任何
7. 在数据包源下，应用以下设置：
   • IP：输入所有节点的专用 IP 地址的逗号分隔列表
8. 在数据包目标下，应用以下设置：
   • IP：输入所有节点的专用 IP 地址的逗号分隔列表



9. 单击确定。
10. 确保在策略的“防火墙规则”列表中选择此新规则，并依次单击确定和保存。

添加规则以允许 UDP 端口 42424

按照上述步骤添加允许 UDP 端口 42424 的新规则。此端口由群集同步服务守护程序 (CSSD)、Oracle 网格交互进程通信 (GIPCD) 和 Oracle HA 服务守护程序 (OHASD) 使用。

确保已分配 Oracle SQL Server 规则

检查是否已将 "Oracle SQL Server" 防火墙规则分配给 Linux 服务器策略。这是允许端口 1521 的预定义趋势科技服务器深度安全防护系统防火墙规则。

确保反规避设置设定为“正常”

“网络引擎反规避设置”缺省设定为“正常”。如果此设置设定为“严格”，RAC 数据库响应速度将极慢。

允许其他的 RAC 相关数据包（可选）

上述步骤应当能够满足大多数环境的要求。不过，如果您遇到 Oracle RAC 数据库方面的问题，且您观察到有些数据包正被防火墙事件丢弃，请尝试添加以下防火墙规则。

• 允许 TCP 端口 6200：在数据包源和数据包目标下的 IP 字段中添加 RAC 节点的公共 IP 地址，并将目标端口设置为 6200。此端口由 Oracle 通知服务 (ONS) 使用。此端口可配置，因此请在系统上检查该值，如果不是 6200，请设置正确的端口号。

  

• 允许帧类型 C0A8：添加一个帧类型设置为“其他”、帧编号设置为 "C0A8" 的规则。

  

• 允许帧类型 0AC9：添加一个帧类型设置为“其他”、帧编号设置为 "0AC9" 的规则。

  

• 允许 IGMP 协议：添加协议设置为 "IGMP" 的规则。

  

请参考以下链接，检查系统中是否还有其他 RAC 相关的组件需要额外的防火墙规则来允许特定端口：

https://docs.oracle.com/database/121/RILIN/ports.htm#RILIN1178