请教:三个隔离网段想共享一个数据库

zhoujian0502

公司有三个物理隔离的网络。其中有一个是和外网相连的。 现在每个网络都有一个数据库服务器。但由于员工的变动。经常需要在三个库之间来回倒数据。很麻烦。
现在想在这三个服务器上分别在加一块网卡。另外再加一台共享的数据库服务器。使这他们共享一个数据库。。
说白了就是在保证安全的前提下。把这四个机器再建一个网络。。
但如果用直接就把他们连接起来。就把原来物理隔离的前提给破坏了。主要是病毒的问题就没办法解决。我初步设想用ros做。上四块网卡。分别接四个服务器（三个网络的和一个共享数据库）。不知道能否实现。具体该如何操作。请有知道的或有兴趣的朋友能告诉我。
你想到的都告诉我。我这里条件具备。也可以验证你的想法是否正确。想到一点就说一点。想到两点就说两点。。
公司领导最担心的就是病毒问题。能上互联网的网络肯定存在病毒。剩下两个网络是肯定不能有病毒的。共享数据库好象只用到三个端口。
大家出出主意。小弟在线等。谢谢先了。

seignior

要求物理隔离，这是不可能的吧？接了网线，虽然可以做到逻辑隔离，但说老实，不算遵守规范。

parphy

数据库是什么格式的？

zhoujian0502

原帖由 seignior 于 2006-11-10 08:52 发表
要求物理隔离，这是不可能的吧？接了网线，虽然可以做到逻辑隔离，但说老实，不算遵守规范。

主要是担心病毒。只要能作到公司领导还是可以批准的。问题是技术上是否可行。谢谢回帖

zhoujian0502

原帖由 parphy 于 2006-11-10 09:01 发表
数据库是什么格式的？

我也不知道。叫啥 哦瑞克  。 ORECK  说是只要求三台服务器和共享数据库间只要开三端口就行。原本物理隔离的目的是因为病毒。所以是不是只开这三端口就可以阻挡一部分病毒啊。

seignior

技术上肯定是可行的，比较多办法可以实施。
例1
每台sql服务器加一张网卡，配置一个完全独立的网段，做个ipsec只放行数据库用的端口，找只hub把三台机器接起来。私人觉得是性价比最高的方案。如果你懂做sql的同步则会更方便。
例2
你想弄得复杂点，更严密点，那么把那只hub换成一台三口ros，三只网卡做桥，在ros上做策略，只放行这三个ip和端口。用这个办法，应该理论上没安全问题了吧(ros没失控的前提下)？


是oracle.............汗


补充
看样子你对oracle不太熟的样子，估计你对oracle配置也应该...........这鸟东西加网卡不方便，可以变动一下例2，直接把ros接进三个局域网，只放行三台数据库的ip和端口即可。

[ 本帖最后由 seignior 于 2006-11-10 09:33 编辑 ]

parphy

LINUX下只开oracle的监听端口就可以，如果是WIN版的就比较麻烦了，最好先联系一下DBA，了解好情况以及是否还有其他应用等
如果只开固定端口，应该是基本安全，至少比拿着网线头，在3个所谓的物理隔绝网里“即插即用”好

能用得起oracle的，应该拥有昂贵的数据库管理员，网管员则更加不在话下了，因此，我的建议是，把ROS推荐给你们的专职网管，让他们做决定吧

seignior

哈哈，我也认为parphy说的才是正道~~~~~~~~

zhoujian0502

原帖由 seignior 于 2006-11-10 09:27 发表
技术上肯定是可行的，比较多办法可以实施。
例1
每台sql服务器加一张网卡，配置一个完全独立的网段，做个ipsec只放行数据库用的端口，找只hub把三台机器接起来。私人觉得是性价比最高的方案。如果你懂做sql的 ...

我是菜鸟一个。刚进这个公司两礼拜。哈哈。上礼拜用ROS解决了公司互联网的问题（以前没用过ROS现学的，以前网络老是时断时通，现在这家伙运行三天多了，还在测试期，带了近两百台机器，网络通畅）。

“那么把那只hub换成一台三口ros，三只网卡做桥，在ros上做策略，只放行这三个ip和端口” 这样做桥。是不是那三个网络就连在一起了啊。。
还有oracle服务器上不能再加一块网卡吗？不想把ROS接在交换机上（每个局域网都受到第三方的监视，如果发现有第二个路由，就违反了规定，意思就是网还受到第三方监视，他可以通过他在网里的硬件路由监视整个网络）。
谢谢大哥回帖

seignior

建议你，少做少错。照你描述的这个环境和你描述的自我能力，建议你一两年内不要碰这个问题，当然不停学习作为一个参考问题还是有必要的。