生产环境中,数据库服务器是存储企业数据的资源池,该服务器的访问应该是受限制的。

通用的做法,在数据库服务器上创建“白名单”,只允许许可的连接访问数据库服务器。

数据库服务器如果是Linux,“白名单”一般用iptables实现;

数据库服务器如果是Unix,“白名单”由各个Unix产品的防火墙软件实现。如AIX的防火墙软件为IP Security

TCP/IP 过滤功能包含在 IPSec 包中,因此检查是否存在的最简单的方法就是用 lslpp –l 列出已安装的包,并验证是否有以下两个包:

bos.net.ipsec.keymgt
bos.net.ipsec.rte

“白名单”一般而言,以业务系统为维度创建,该业务系统所有的app server(cache server,web server不能访问)均可以访问该业务系统的所有数据库服务器,并且,app server扩容,应该能够实现新增的app server自动被添加到数据库服务器的“白名单”中。减少运维人员系统扩容的工作量。