11i:SQL * NET加密现在认证 - 最后

Oracle最终认证了使用高级安全选项/高级网络选项,以便在数据库和应用程序服务器之间加密SQL *净流量。 此认证已得到许多年份。

高级安全选项(ASO)是Oracle数据库的可选组件,并且是额外的成本。 高级网络选项(ANO)是Oracle 8.0.x中的ASO中的前一个名称,它也在Oracle应用程序11i配置中使用,因为表单,报告和并发管理器仍然使用8.0.6.3 Oracle_Home。

SQL *净流量的此认证和加密仅与需要加密所有网络流量的高度安全实现相关。 应用服务器和数据库应仅包含在安全数据中心中,因此此流量的加密仅提供边际益处。 更关注的是从DMZ中部署的应用程序服务器和管理(DBA的),ad-hoc查询,接口和其他直接SQL * NET连接的直接SQL * NET连接。

Oracle仅经过RC4(40或128)而不是DES,3DES或AES的使用。 RC4是表现最佳的ASO加密算法。 只有支持RC4,希望遵守FIPS 140的实现。

应在在生产环境中实施加密之前测试性能,因为表单SQL *净流量是"chatty"并且可以影响数据库服务器和应用程序服务器上的CPU利用率,因为RC4最适合大型数据包大小。

实现加密的最大挑战是11.5.10和11i.atg.pf.h Rup3的要求,其中RUP3是应用关键补丁更新的最低要求。 此外,AutoConfig模板似乎没有支持8.0.6.3 Oracle_home的SQLNET.ORA文件的更改,因此每次运行AutoConfig后,必须重新实现这些更改。

具有严格安全性要求的组织将受益于来自数据中心外部的所有直接SQL *净流量的加密部署的有限部署,包括在DMZ中部署的应用程序服务器。 此配置将在风险流量上加密最多,并消除对加密所有应用程序服务器流量的任何潜在性能问题。 可以使用已接受和请求的参数配置ASO,以允许对某些客户端连接进行加密。 这不需要加密,但正确配置的客户端将使用加密。

参考:

Metalink Note ID.  391248.1 "使用高级安全选项/高级网络选项加密EBS 11i网络流量"

 Share this post