在连接控制器中,还可以使用IP地址限制访问权的规则来配置。如IP地址可以创建这个基于规则的配置来接受或者拒绝客户的连接请求。另外客户端的连接还可以按起始点、目标服务器和Oracle服务器来限制。具体来说,可以通过三种类型来限制客户端的访问,分别为通过协议类型限制客户端连接、通过IP地址限制客户端连接与通过服务名限制客户端连接。不过最常用的还是通过IP地址来限制客户端的连接。前不久笔者刚好完成过类似的一个项目。
这家企业是一家集团型企业,规模比较大。由于需要上一个集团财务管理系统,故需要配置Oracle数据库。由于这个财务管理软件系统主要是归财务部门使用,其他部门用不着。为了提高这个数据库的安全,企业就提出了一个要求,他们只允许财务人员可以访问这个数据库。笔者调查了企业的网络部署情况,发现企业对于财务部门比较重视。如还特意通过虚拟局域网的形式限制其他部门对财务部门网络的访问(通过固定IP地址来实现)。了解到了这个情况之后,笔者就心中有解决方案了。笔者最后跟企业确认后,在Oracle数据库服务器之前部署了一个Oracle连接管理器,通过这个连接管理器配置实现只有特定的 IP地址才可以连接到Oracle服务器中。而其他非财务部门的用户(Ip地址不是财务部门的),不能够连接到这台Oracle数据库服务器中。
通过类似的方法来提高Oracle数据库的安全还有很多。如企业可能现现在有多台Oracle数据库服务器。如有的是ERP系统的后台数据库; 而有的是财务管理软件的后台数据库。现在企业财务部门可以访问这两台数据库服务器;而财务部门以外的员工只能够访问ERP系统的数据库服务器。此时,也可以通过连接控制起来实现访问控制。可见Oracle连接控制器提供了很多访问控制的手段,可以提高Oralce数据库的安全性。
功能四:多协议的支持。
连接管理器的多协议支持允许客户端使用不同网络协议来与服务器进行通信。连接管理器在其中充当一个翻译器的角色,来为客户端与服务器端进行双向协议转换。其实确切的说,客户端可以通过多个协议连接到Oracle连接管理器。而连接管理器与数据库服务器的连接则往往只有一种协议。连接管理器在把请求发送给服务器之前,已经对连接进行了翻译,翻译成为了数据库服务器可以认同的协议。然后连接管理器在接受到数据库服务器的反馈之后,就会把再对协议进行转换,转换为客户端可以认同的协议,并与客户端进行通信。也就是说,此时客户段可能就认为连接管理器就是数据库服务器。
现在有三个客户端,采用了不同的网络协议。当客户端向数据库连接管理器发送连接请求时,连接管理器如果发现有可以采用的不是 Oracle数据库服务器所接受的网络协议,则会先对网络协议进行转换。然后再把转换过的请求发送给数据库服务器。可以Oracle连接管理器允许使用不同网络协议的客户与服务器进行通信。这在比较复杂的环境环境中非常的有用。
故连接管理器可以在访问控制、防火墙支持、多路复用、多协议支持等多个方面提供比较出色的支持。为此笔者在给企业部署Oracle应用的时候,如果发现企业的网络比较复杂,同时又采用了防火墙等安全控制手段的话,那么笔者都会建议企业采用连接管理器来连接数据库服务器。如此的话,后续由于网络环境的调整而给数据库通信造成的负面影响就会少的多。