41-Oracle 23 ai Firewall(内核级集成)

最新推荐文章于 2026-05-17 18:07:37 发布
原创 最新推荐文章于 2026-05-17 18:07:37 发布 · 1k 阅读 · 10 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
标签
#oracle #数据库 #sql #database #大数据
#人工智能

小伙伴们,有没有遇见各种安全要求,网络安全监测需求。在从前的Oracle数据库前端放置安全设备或是行为拦截设备,进行拦截和日志解析。前置外挂效果如何且不论述,性能肯定会有影响。

现在Oracle 23 ai 将防火墙功能集成在数据库内核中,原生集成,颗粒度细致,性能提升。

一、技术演进:从边界防护到原生安全

1. 传统防火墙架构(23ai之前)​
  • 网络层代理​:作为独立硬件/软件部署在数据库前,通过SPAN或TAP端口镜像流量
  • 功能特性​:
    • 黑白名单策略​:基于正则表达式匹配SQL模式(如拦截UNION SELECT)
    • 登录控制​:限制失败登录尝试次数,自动锁定账户
    • 协议解析​:支持TNS协议解码,但无法解析加密流量
  • 核心缺陷​:
    • 网络绕行风险​:旁路部署可能被攻击者绕过
    • 性能损耗​:SQL语法解析增加5-15ms延迟
    • 管理割裂​:策略配置独立于数据库,策略与数据库分离,需手动同步用户权限。
2. 23ai内生防火墙革新
  • 内核级集成​:通过DBMS_SQL_FIREWALL包实现策略管理,消除网络层绕行风险
  • 加密流量解析​:原生支持TLS 1.3加密流量分析(无需解密)
  • 租户隔离​:CDB/PDB独立策略管理,支持容器化部署
3. 功能对比 

能力

传统方案

23ai

策略生效点

网络层

数据库内核

加密支持

有限

原生TLS 1.3解析

性能损耗

5-15ms

多租户管理

不支持

根容器统一策略

二、23ai防火墙核心技术

1. 技术核心
  • 上下文感知策略
    • 绑定客户端属性(IP、OS_USER、OS_PROGRAM)
    • 识别SQL结构特征(如永真条件、非常规UNION)
  • 多模式运行​:
    • 学习模式​:捕获合法SQL生成指纹,(DBMS_SQL_FIREWALL.CREATE_CAPTURE)
    • 告警模式​:记录违规
    • 阻断模式​:实时拦截未授权操作
2. 关键增强特性
  • 细粒度捕获控制
-- 捕获顶级SQL(PL/SQL嵌套调用)-现在是演示,看后面的步骤  
BEGIN  
  DBMS_SQL_FIREWALL.CREATE_CAPTURE(  
    username        => 'APP_USER',  
    top_level_only  => TRUE
  );
END;
/
  • 动态上下文绑定​ 
-- 限制DBA仅从特定IP执行操作  
BEGIN  
  DBMS_SQL_FIREWALL.ADD_ALLOWED_CONTEXT(  
    username      => 'DBA_USER',  
    context_type  => DBMS_SQL_FIREWALL.IP_ADDRESS,  
    value         => '192.168.1.0/24'  
  );
END;
/

三、实操环境初始化(SYSDBA执行) 

-- 切换到目标PDB(容器化部署必需)
ALTER SESSION SET CONTAINER = freepdb1;  -- 容器名根据实际修改

-- 启用全局SQL防火墙
--ALTER SYSTEM SET SQL_FIREWALL=ON;--废弃的功能
EXEC DBMS_SQL_FIREWALL.ENABLE;
--
SYS@CDB$ROOT> EXEC DBMS_SQL_FIREWALL.ENABLE;
PL/SQL procedure successfully completed.
Elapsed: 00:00:01.586
-- 创建测试用户(密码Oracle_4U)
CREATE USER APP_USER IDENTIFIED BY "Oracle_4U";
GRANT CREATE SESSION ,SQL_FIREWALL_ADMIN TO APP_USER;
grant unlimited tablespace to APP_USER;
--
Grant succeeded.
Elapsed: 00:00:00.025
-- 创建敏感数据表(APP_USER会话执行)
sqlplus APP_USER/Oracle_4U@localhost:1521/freepdb1
CREATE TABLE sensitive_data (
  id          NUMBER PRIMARY KEY,
  name        VARCHAR2(50),
  credit_card VARCHAR2(20)
);
INSERT INTO sensitive_data VALUES (1, 'BOSS', '4111111111111111');
COMMIT;
--
INSERT INTO sensitive_data VALUES (1, 'BOSS', '4111111111111111');
1 row created.
APP_USER@localhost:1521/freepdb1> COMMIT;
Commit complete.
--

四、策略训练与拦截验证

步骤1:学习模式捕获合法SQL
-- SYSDBA执行(启用捕获,仅监控顶级SQL)
BEGIN
  DBMS_SQL_FIREWALL.CREATE_CAPTURE(
    username        => 'APP_USER',
    top_level_only  => TRUE,  -- 关键优化:忽略PL/SQL嵌套调用
    start_capture   => TRUE   -- 立即开始捕获
  );
END;
/
-- 模拟合法操作(APP_USER会话执行)
SELECT * FROM sensitive_data WHERE id=1;              -- 按ID查询
UPDATE sensitive_data SET name='Alice' WHERE id=1;     -- 按ID更新
--
APP_USER@localhost:1521/freepdb1> SELECT * FROM sensitive_data WHERE id=1;
        ID NAME                                               CREDIT_CARD
---------- -------------------------------------------------- --------------------
         1 BOSS                                               4111111111111111
APP_USER@localhost:1521/freepdb1> UPDATE sensitive_data SET name='Alice' WHERE id=1;
1 row updated.
APP_USER@localhost:1521/freepdb1>
步骤2:生成允许列表,并启用阻断

白名单生成是捕获的后续步骤,需先停止捕获 → 生成白名单 → 再启用阻断策略

-- SYSDBA执行
--先停止捕获
BEGIN
  DBMS_SQL_FIREWALL.STOP_CAPTURE('APP_USER');  -- 停止捕获
END;
/
--PL/SQL procedure successfully completed.
--生成允许列表(白名单)​
BEGIN
  DBMS_SQL_FIREWALL.GENERATE_ALLOW_LIST('APP_USER');  -- 生成白名单
END;
/
--或如下
EXEC DBMS_SQL_FIREWALL.GENERATE_ALLOW_LIST('APP_USER');      -- 生成白名单
--PL/SQL procedure successfully completed.
--再启用阻断策略
-- 以管理员(需 SQL_FIREWALL_ADMIN 角色)在 PDB 中执行
BEGIN
  DBMS_SQL_FIREWALL.ENABLE_ALLOW_LIST(
    username => 'APP_USER',
    enforce  => DBMS_SQL_FIREWALL.ENFORCE_ALL,  -- 强制检查SQL和上下文
    block    => TRUE                            -- 开启阻断
  );
END;
/
--PL/SQL procedure successfully completed.
--检查捕获情况
SELECT username,SQL_TEXT
FROM DBA_SQL_FIREWALL_CAPTURE_LOGS 
WHERE username = 'APP_USER';  -- 应无活跃记录
--
SELECT username,SQL_TEXT
  2  FROM DBA_SQL_FIREWALL_CAPTURE_LOGS
  3  WHERE username = 'APP_USER';

USERNAME
------------------------------------------------------------------------------------------------------------------------
SQL_TEXT
------------------------------------------------------------------------------------------------------------------------
APP_USER
SELECT * FROM SENSITIVE_DATA WHERE ID=:"SYS_B_0"
APP_USER
UPDATE SENSITIVE_DATA SET NAME=:"SYS_B_0" WHERE ID=:"SYS_B_1"
APP_USER
SELECT * FROM SENSITIVE_DATA WHERE ID=:"SYS_B_0" OR :"SYS_B_1"=:"SYS_B_2"

--检查白名单生成
SELECT sql_text 
FROM DBA_SQL_FIREWALL_ALLOWED_SQL 
WHERE username = 'APP_USER';  -- 应返回学习到的合法SQL
--测试阻断功能
-- 用 APP_USER 执行未授权的SQL(预期触发 ORA-47605)
SELECT * FROM sensitive_data WHERE 1=1; 
--
APP_USER@localhost:1521/freepdb1> SELECT * FROM sensitive_data WHERE 1=1;
SELECT * FROM sensitive_data WHERE 1=1
              *
ERROR at line 1:
ORA-47605: SQL Firewall violation
Help: https://docs.oracle.com/error-help/db/ora-47605/
步骤3:记录测试(触发ORA-47605) 
-- APP_USER会话执行
-- 测试1:捕捉SQL
SELECT * FROM sensitive_data WHERE id='1' OR 1=1;
-- 测试2:全表扫描
SELECT * FROM sensitive_data; 
--
APP_USER@localhost:1521/freepdb1> SELECT * FROM sensitive_data;
SELECT * FROM sensitive_data
              *
ERROR at line 1:
ORA-47605: SQL Firewall violation
Help: https://docs.oracle.com/error-help/db/ora-47605/
-- 测试3:绑定程序上下文(限制非sqlplus访问)
BEGIN
  DBMS_SQL_FIREWALL.ADD_ALLOWED_CONTEXT(
    username      => 'APP_USER',
    context_type  => DBMS_SQL_FIREWALL.OS_PROGRAM,
    value         => 'sqlplus.exe'                          -- 仅允许sqlplus
  );
END;
/
--PL/SQL procedure successfully completed.

五、日志分析与策略优化

查看拦截日志
-- SYSDBA执行
SELECT username, sql_text, CAUSE, OCCURRED_AT
FROM DBA_SQL_FIREWALL_VIOLATIONS
WHERE username='APP_USER';                                   
-- 确认被记录
--USERNAME
---------------------------------------------------------
SQL_TEXT
---------------------------------------------------------
CAUSE             OCCURRED_AT
----------------- ---------------------------------------
APP_USER
SELECT * FROM SENSITIVE_DATA WHERE :"SYS_B_0"=:"SYS_B_1"
SQL violation     16-JUN-25 04.01.49.804037 PM +08:00

APP_USER
SELECT * FROM SENSITIVE_DATA
SQL violation     16-JUN-25 04.02.47.085260 PM +08:00

六、企业级场景扩展

场景1:限制固定IP操作
--若需限制访问来源(如只允许特定 IP),使用 ADD_ALLOWED_CONTEXT:
BEGIN  
  DBMS_SQL_FIREWALL.ADD_ALLOWED_CONTEXT(  
    username      => 'APP_USER',  
    context_type  => DBMS_SQL_FIREWALL.IP_ADDRESS,  
    value         => '172.2.25.100'  -- 仅允许此 IP  
  );  
END;  
/
场景2:允许特定的程序 
BEGIN  
  DBMS_SQL_FIREWALL.ADD_ALLOWED_CONTEXT(  
    username      => 'APP_USER',  
    context_type  => DBMS_SQL_FIREWALL.OS_PROGRAM,  
    value         => 'report_tool.exe'  
  );  
END;
/
--PL/SQL procedure successfully completed.
场景3、还原,需要重新测试的时候删除捕获,再重新设置 
SYS@FREE> EXEC DBMS_SQL_FIREWALL.DROP_CAPTURE('APP_USER');

--PL/SQL procedure successfully completed
远方1609
关注
AI赋能Oracle DBA:以自然语言与Oracle数据库互动
engchina的专栏
02-25 2492
AI赋能Oracle DBA:以自然语言与Oracle数据库互动
Oracle23ai来了,23爱,全能、超级巨兽...
IT邦德
05-04 6023
Oracle23c改名为Oracle23ai,也意味着Oracle数据库正式从Cloud进入AI时代
Oracle Database 23ai 正式发布,超级巨兽(集关系型、向量、文档、图、缓存、分布式数据库一体的全能数据库
云原生智能数据管理平台
05-06 3287
Oracle23c改名为Oracle23ai,也意味着Oracle数据库正式从Cloud进入AI时代。Oracle23ai版本是一个超级巨兽,简单总结下:AI能力:内置向量数据库,内置ONNX模型数据处理,内置Text2SQL,内置的机器学习算法持续增强;JSON能力增强,要干掉MongoDB,并且还是JSON与关系型双模型一体化方案;图数据处理能力增强,要干掉Neo4j,模型也是一体化设计;
Oracle 数据库网络安全
最新发布
分享学习路线、运维调优与故障等解决方案
05-17 601
Oracle 数据库网络安全
Oracle Database 23ai
DBA_Benjamin的博客
05-05 1454
Oracle Database 23AI 作为新一代长周期支持版本其赋能项目是非常多的
Oracle 23 AI:又甩开国产数据库几条街
Roger的数据库专栏
05-04 2032
实际上对于修改单个pdb的状态(open、restoration、upgrade 3种模式),非常的实用,想想几年前我们修复一套12.2 cdb多租户数据库的时候,恢复好一些pdb之后,本来想暂时恢复部分业务,但是发现在恢复其他pdb的时候,还需要反复去操作cdb甚至重启,因此就非常的麻烦。昨天蓝星最强的关系型数据库Oracle发布了最新版的Oracle 23 Ai,实际上很早之前我们就测试并了解了一些Oracle 23c的内容,没想到正式Release的时候,直接改名为Ai版本了。我认为是非常实用的。
AI技术加入到数据库,是一种什么体验?
chenoracle的博客
11-17 1822
SELECT AIOracle 23ai新功能,通过SELECT AI,可以使用自然语言和Oracle对话,生成式人工智能大语言模型(LLM)与Oracle SQL相结合,使您能够描述您想要的内容(声明性意图),并让数据库生成与您的模式相关的SQL查询。本文主要介绍如何使用Select AI数据库交互,没有SQL经验如何轻松操作数据库数据库技术正在向智能化方向发展,数据库AI技术的结合,提高了数据库管理的效率和准确性。
Oracle--安装Oracle Database23ai Free
恐龙让Lee的博客
04-17 3405
本文提供了Oracle数据库23ai的安装指南,涵盖Oracle Linux、Docker和VirtualBox三种环境的安装方法。首先介绍了Oracle Linux9虚拟机的安装,接着详细描述了通过RPM包安装Oracle数据库的步骤,包括下载、安装预安装包和数据库软件、配置数据库、设置环境变量、连接数据库以及配置开机自启。同时,也提供了Docker镜像和VirtualBox虚拟机的安装方法。最后,简要介绍了安装Oracle SQL Developer的方法。这些步骤为用户提供了全面的Oracle数据库2
Oracle AI Database 26ai:下一代智能数据革命
weixin_53520202的博客
10-31 1766
Oracle AI Database 26ai是甲骨文最新推出的AI原生数据库,深度集成了向量搜索、代理式AI、LLM支持等功能,支持关系型、JSON、图、空间等多模态数据融合。相比MySQL、PostgreSQL等传统数据库,其优势在于AI原生支持、统一数据模型和湖仓集成,但成本较高。该数据库提供免费版用于评估,支持云/本地部署。对于需要高性能AI数据融合的企业,26ai是一个值得考虑的选择,但需权衡其学习曲线和部署成本。
23ai 的这个功能,让 DBA 离失业又更进一步
oracle18c的博客
11-05 1760
Oracle 23ai 已经正式发布一段时间了,不过由于OP版只能在 Oracle Engineer System 上使用,所以在我们接触到的客户中真正使用 23ai 非常少。最近我们借助于 Oracle 提供的 Free 版本,针对新特性进行了系统的分析和学习,发现 23ai 真的是将 AI 功能贯彻的非常彻底的一个版本,以至于我都怀疑 DBA 是不是真的会失业!本篇是 23ai 新特性系列文章的第一篇,介绍 SQL 分析报告,对新技术特性感兴趣的朋友可以点个关注,大家一起来学习。
Oracle 如何实现AI自然语言查询
weixin_42329915的博客
05-25 827
本文介绍了如何在Oracle 23ai数据库中通过DBMS_CLOUD_AI集成第三方AI服务(以Cohere为例),实现自然语言查询功能。主要内容包括:1) 授予用户AI包执行权限并配置网络访问;2) 创建AI服务凭证;3) 配置AI Profile定义模型和访问表对象;4) 启用Profile后即可通过自然语言与数据库交互。该功能降低了数据查询门槛,为开发智能数据库应用提供了便利。文章提供了完整的配置步骤和SQL示例,适合希望在Oracle中嵌入AI能力的开发者参考实践。
聊聊 Oracle 23 ai 新特性、相关更改和停用功能
JiekeXu的博客
05-14 2236
作者 | JiekeXu来源 |公众号 JiekeXu DBA之路(ID: JiekeXu_IT)如需转载请联系授权 |(个人微信 ID:JiekeXu_DBA)大家好,我是 JiekeXu,江湖人称“强哥”,荣获 Oracle ACE 称号,墨天轮 MVP,墨天轮年度“墨力之星”,拥有 Oracle 11g OCP/OCM 认证,MySQL 5.7/8.0 OCP 认证以及 PCA、PCT...
oracle 23ai 安装(windows)
u013501917的专栏
04-17 960
的用户并添加到"Administrators"组。使用oracle账户登录windows系统。在左侧面板中展开"系统工具",选择"以管理员身份运行"右键点击"开始"按钮。展开"本地用户和组"
Oracle 23ai 对应windows版本安装配置&PLSQL导入pde文件&navicat连接Oracle
xshzgjshpy1的博客
11-21 3746
(另外在文件里添加新的连接没用,具体原因不清楚,free版本好像只能用FREE这个连接),用户名为sys或者system,这是oracle的默认用户,密码是当时安装时设置的密码。1、oracle数据库配置需要有服务名称,端口一般为1521,本地配置为localhost,用户名sys或者俄式system,需要连接时选择sysdba权限。3、下载后解压,运行setup.exe,运行时,会需要输入数据库密码,输入你的密码,并记住该密码。7、那么用navicat登录时,配置如下,连接名称随意,其他如下。
突发:Oracle 23ai 发布时间再次推迟,还有一个好消息
oracle18c的博客
11-23 940
最初计划的发布时间是在 CY2024的上半年,2024年5月份为了凸显新版本数据库AI 领域的新功能,Oracle 将其更名为 Oracle 23ai,并正式发布了云上版本,同时 OP 版的发布时间也被推迟到了 CY2024 的下半年。近日笔者在查看 Oracle 数据库版本策略时发现,Oracle MOS更新了版本发布文档 Doc. 742060.1,Oracle 23ai OP 版的发布时间被推迟到 CY2025,也即是 2025年。
23-Oracle 23 ai 区块链表(Blockchain Table)
远方的专栏
06-10 464
小伙伴有没有在金融强合规的领域中遇见,必须要保持数据不可变,管理员都无法修改和留痕的要求。比如医疗的电子病历中,影像检查检验结果不可篡改行的,药品追溯过程中数据只可插入无法删除的特性需求;登录日志、修改日志和日常操作业务的日志,不允许任何动作(包含管理员)进行修改的强合规要求。医疗行业和有些加密算法的行业是不是可以省掉物理的KEY,节约人工和偶尔忘带key的苦恼。不过对于DBA来说是不是又要有如果修改,徒增N多人工审批流程。便利性和安全性总是那么来回拉扯。
Oracle 23ai free 版本地化安装指南
JiekeXu的博客
05-10 6130
作者 | JiekeXu来源 |公众号 JiekeXu DBA之路(ID: JiekeXu_IT)如需转载请联系授权 |(个人微信 ID:JiekeXu_DBA)大家好,我是 JiekeXu,江湖人称“强哥”,荣获 Oracle ACE 称号,墨天轮 MVP,墨天轮年度“墨力之星”,拥有 Oracle 11g OCP/OCM 认证,MySQL 5.7/8.0 OCP 认证以及 PCA、PCTA、...
Oracle LiveLabs实验:DB Security - Oracle SQL Firewall
In-Memory Computing Technology
11-07 1357
本研讨会介绍了 Oracle SQL 防火墙的功能。如何配置 SQL 防火墙以防范常见的数据库风险,例如 SQL 注入攻击和账户被盗。SQL 防火墙确保只有来自受信任数据库连接的授权 SQL 语句才允许在 Oracle 数据库内执行,同时阻止和记录未经授权的 SQL数据库连接。
Oracle AI理论与实践,企业落地篇干货满满
IT邦德
09-24 1485
AI就是这样的一个未来的存在,但最终你会和他融合在一起,接受他给你带来的一切。
Oracle Select AI 介绍
weixin_40090689的博客
03-25 595
Oracle Select AIOracle Autonomous Database 中的一项功能,允许用户使用自然语言查询数据库
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值