YashanDB 反入侵

本文内容来自 YashanDB 官网，原文内容请见 https://doc.yashandb.com/yashandb/23.3/zh/%E6%A6%82%E5%BF%B5%E6%89%8B%E5%86%8C/%E5%AE%89%E5%85%A8%E7%AE%A1%E7%90%86/%E5%8F%8D%E5%85%A5%E4%BE%B5.html

在数据库层建立防火墙主要用于检测和防御外部入侵风险，可以采用如下机制：

• 建立 IP 黑/白名单，白名单里的 IP 上所发起的登录请求才允许连接，黑名单里的 IP 上所发起的登录请求不允许连接。

• 启用连接监听后，所有对 YashanDB 的连接信息都将被记录，便于及时发现异常连接并采取相应措施。

# IP 黑白名单

YashanDB 提供 IP 访问控制功能，根据配置允许/拒绝对应 IP 发起的远程连接请求（使用 UDS 本地连接的请求不受影响），增强数据库访问的安全性。

IP 黑/白名单开关由 yasdb_net.ini 文件中的 TCP.VALIDNODE_CHECKING 参数控制，默认为关闭且配置文件不会自动生成，重启生效。如需启用，需创建配置文件并配置开关参数和相应的 IP 黑/白名单列表。

• 启用并仅配置白名单：仅白名单内的 IP 向数据库发起的远程连接请求才能被允许。

• 启用并仅配置黑名单：黑名单内的 IP 向数据库发起的远程连接请求会被直接拒绝。

• 启用并同时配置黑名单和白名单：黑名单优先级高于白名单，若黑白名单中存在相同 IP 按黑名单生效。

# 连接监听

连接监听用于检测诸如连接风暴类的网络攻击，YashanDB 通过记录监听日志的方式实现此功能。

监听开关由 LSNR_LOG 参数控制，默认为开启。

开启连接监听时，所有对 YashanDB 的连接请求（不论成功与否）都将被记录到监听日志文件 listener.log 中，该文件在 YashanDB 安装部署过程中自动创建。日志文件中的记录内容包括时间戳、用户、连接状态、IP、端口等信息，通过这些信息可以帮助用户快速分析连接来源，及时发现恶意攻击并采取相应措施。

# 保留连接

YashanDB 提供保留连接功能，用于保障管理员在数据库资源耗尽的紧急情况下仍然能够连接数据库，进行诸如 KILL SESSION、SHUTDOWN 等系统恢复或数据保护的操作。

本功能将为系统永远预留两个连接资源，这两个连接被成功分配的前提条件为：

• 系统出现资源不足，普通用户已无法连接数据库。

• 收到的登录数据库请求为 UDS 本地连接方式。

• 发起登录数据库请求的用户账号为 sys。