ну не пугайте так! и оный есть и PIX с IDS впридачу. И гуи по ssh через сапрутер ходят И ничего - живём.

Кто пугает? Если люди сознательно готовы к kernel panic на хосте с базой - их испугать достаточно сложно.

Сервер с базой в принципе не должен заниматься фильтрацией. Хотя бы из-за нагрузки на cpu.

а вот вы о чём? ) - сорри. В условиях виртуализации серверов это понятие становится размытым.

угу, и еще TCP соединение с ораклом запрещено,
никаких тебе там Энтерпрайз манагеров, телнетов , FTP,
параноидально конечно и неудобно малость, но работали так и ничего - живы покаместь

Воображаем ситуацию - хост с базой, пара-тройка гигабитных интерфейсов и мощный поток данных ( неважно - можно и по одному интерфейсу ). И на этом же хосте затесался фильтр с набором неких правил. В результате получим:
1. Резко подскочивший процент system time ( анализ пролетающих пакетов ).
2. Аналогично подскочивший процент iowait ( на анализ время надо ).

Если процессоров не хватит - ждите до кучи дропанья пакетов со всеми вытекающими приколами.

Вопрос - оно надо такое?

Естественно оговорюсь что я говорю о более-менее крупных базах. С мелочью как бы и так все понятно.

А никто и не говорит, что надо. Просто задумался над конфигурацией с выделением виртуала, причём - под Linux, где даже portsentry можно запускать (если б не было под рукой аппаратного IDS-а:)). Неданво проскакивало решение чьё-то о переходе c 390 на Linux в целях экономии. В принципе, если нет DB2, может быть, и разумно.

Не знаю насчет Солярки на HP-UX 11.0 и 11i IPFILTER работает безукоризненно, единственно на 11i накатывал депот - не старотовал демон при перезагрузке сервера. Мало того, ipfilter имеет возможность отключить конкретный порт и протокол без проблем на вход и на выход. До этого использовали маршрутизацию командой route отсекая ненужные сегменты. SAProuter желательно включать с логами для контроля доступа. Для проверки открытости портов и протоколов рекомендую программу XSpider там есть бесплатные версии. Она же подскажет что лучше накатить и зачем.
http://www.ptsecurity.ru/

Я не повыдергиваться. Я исключительно констатирую факт - Solaris-ов и ipfilter-ов пользовал более чем достаточно, разных версий и т.п. И kernel panic-и вызванные ipфильтром тоже видел. И немало. В общем дело личное в любом случае, но для меня вопрос фильтрации прямо на СУБД хосте закрыт - не царское это дело.

В Solaris 10 входит ipfilter имени sun. Коленкор немного другой, но все равно надо смотреть и смотреть.

И все же лучше выделенной специально на файрвольный цели железяки ( freebsd, linux, PIX, Solaris + FW-1 или чего еще душа пожелает ) ничего быть не может.


nmap + nessus вполне достаточно

Если хочется от Solaris максимальной закрытости - пройтись по нему JASS ( http://wwws.sun.com/software/security/jass/ ).