要訪問防火牆後的windows oracle數據庫,僅僅通過簡單的打開固定TCP端口的方式是不行的。
這個問題的根本原因是windows oracle數據庫的BT設計(unix/linux無此問題)。
oracle數據庫的網絡訪問采用了一個很BT的工作模式,其大概流程如下:
1)oracle server上的oracle net listener進程持續監聽一個固定的TCP端口(缺省是1521);
2)client向server上的net listener端口發起連接請求;
3)listenr收到client的請求之後,建立與client的連接,並通知server新建一個數據庫連接的服務進程(以下簡稱P),該進程會隨機選擇一個沒有被使用的TCP端口並綁定,然後將端口號通知listener;
4)listenr將P綁定的端口號轉發給client;
5)client收到P的端口號後,終止與listener的連接,然後通過P的綁定端口直接連接P;
到第5步,連接才最終完成,之後client就可以訪問數據庫了。
從上面的工作流程可以知道,在這種工作模式下,client實際最終連接的oracle server端口是隨機的。
所以根本無法在防火牆上預先設定固定的TCP端口來使oracle server可以被訪問。
據說oracle這麼做也是不得已的,因為早期windows nt的TCP/IP部分有bug,直接使用公用端口連接會有問題,所以oracle才搞出這麼個天才的設計。
不過,NT4SP3之後不就沒這個bug了嗎,為啥到oracle 11g了還在用這個BT模式呢? 當然啦,現在網絡安全性問題這麼嚴重,如果真的無法使用防火牆,windows版的oracle數據庫豈不是要賣不出去了嗎?
oracle公司當然不會那麼白癡,從oracle 8i開始,windows版的oracle也可以使用正常的工作模式了,只不過默認仍是使用BT工作模式罷了。
只有Windows平台上的9i及以下版本的Oracle才會有這個問題。Oracle在Linux以及Unix平台下,多個進程間可以對端口進行復用,Oracle Server Process仍然使用的是跟監聽進程一個端口(1521),客戶端只連接了一次,並沒有進行第二次連接,與上面描述的流程相比已經發生了變化。
在Windows平台上,10g及以上版本的數據庫,也同樣利用端口復用,避免了這樣的問題。實際上10g就是默認USE_SHARED_SOCKET為TRUE。
在Oracle的BT模式下,其實可通過在防火牆中設置Oracle程序例外來穿越防火牆。
