配置sqlnet.ora限制IP访问Oracle与防火墙类似的功能，Oracle提供限制与允许特定的IP或主机名通过OracleNet来访问数据库。这个功能由sqlnet.ora配置文件来实现。该文件通常$ORACLE_HOME/network/admin/目录下，与tnsnames.ora以及listener.ora位于同一路径。用法也比较简单。通过监听器的限制，实现轻量级访问限制，比在数据库内部通过触发器进行限制效率要高。1.实现通过在sqlnet.ora文件中增加下列记录来实现tcp.validnode_checking=yestcp.invited_nodes=(hostname1,hostname2，ip1,ip2)tcp.excluded_nodes=(10.103.11.17,hostname1,hostname2)当使用invited_nodes时，则所有没有包含在invited_nodes值中的IP或主机将无法通过OracelNet连接到数据库。而如果使用excluded_nodes时，除了excluded_nodes值中列出的IP和主机不可访问之外，其余的节点都可以访问数据库。通常情况下，更倾向于使用excluded_nodes参数。2.注意使用excluded_nodes与invited_nodes的一些特性不支持通配符的使用(如hostname不能写为svhs0*，IP地址不能写为10.103.11.*）excluded_nodes与invited_nodes为互斥方式，要么使用前者，要么使用后者如果tcp.invited_nodes与tcp.excluded_nodes都存在，则tcp.invited_nodes优先要将本地地址，或者Cluster群集其他节点的地址都加入到允许列表，否则监听器可能无法启动修改之后，一定要重起监听或reload才能生效，而不需要重新启动数据库仅提供对TCP/IP协议的支持3.实战-->使用tnspingdemo92，连接正常C:\>tnspingdemo92TNSPingUtilityfor32-bitWindows:Version11.2.0.1.0-Productionon25-JUN-201118:55:39Copyright(c)1997,2010,Oracle.Allrightsreserved.Usedparameterfiles:d:\app\Robinson\Oracle_client\product\11.2.0\client_1\network\admin\sqlnet.oraUsedTNSNAMESadaptertoresolvethealiasAttemptingtocontact(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCP)(HOST=10.103.11.209)(PORT=1521)))(CONNECT_DATA=(SERVER=DEDICATED)(SERVICE_NAME=demo92)))OK(0msec)-->查看配置文件[oracle@testadmin]$moresqlnet.ora#SQLNET.ORANetworkConfigurationFile:/oracle/92/network/admin/sqlnet.ora#GeneratedbyOracleconfigurationtools.NAMES.DIRECTORY_PATH=(ONAMES,TNSNAMES,HOSTNAME)#AddedbyRobinsontcp.validnode_checking=yestcp.excluded_nodes=(10.103.11.17)-->重新reload[oracle@testadmin]$lsnrctlreloadlistener_demo92LSNRCTLforLinux:Version9.2.0.8.0-Productionon26-JUN-201110:03:11Copyright(c)1991,2006,OracleCorporation.Allrightsreserved.Connectingto(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=test)(PORT=1521)))Thecommandcompletedsuccessfully-->再次tnsping时，收到TNS-12547错误C:\>tnspingdemo92TNSPingUtilityfor32-bitWindows:Version11.2.0.1.0-Productionon25-JUN-201119:01:21Copyright(c)1997,2010,Oracle.Allrightsreserved.Usedparameterfiles:d:\app\Robinson\Oracle_client\product\11.2.0\client_1\network\admin\sqlnet.oraUsedTNSNAMESadaptertoresolvethealiasAttemptingtocontact(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCP)(HOST=10.103.11.209)(PORT=1521)))(CONNECT_DATA=(SERVER=DEDICATED)(SERVICE_NAME=demo92)))TNS-12547:TNS:lostcontact-->下面的演示中如果excluded_nodes与invited_nodes都存在，则invited_nodes优先，不再演示[oracle@testadmin]$moresqlnet.ora#SQLNET.ORANetworkConfigurationFile:/oracle/92/network/admin/sqlnet.ora#GeneratedbyOracleconfigurationtools.NAMES.DIRECTORY_PATH=(ONAMES,TNSNAMES,HOSTNAME)#AddedbyRobinsontcp.validnode_checking=yestcp.excluded_nodes=(10.103.11.17)tcp.invited_nodes=(10.103.11.17)4.使用触发器限制单用户或IP段-->限制单用户从单IP登录，下面限制scott用户从客户端的登录CREATEORREPLACETRIGGERdisableloginAFTERlogonONscott.schema-->注意使用方式为username.schemaDECLAREipaddrVARCHAR2(30);BEGINSELECTsys_context('use...