使用Oracle触发器实现特定用户的IP访问控制

在Oracle数据库中，可以通过创建登录触发器来实施基于IP地址的访问控制，从而提高系统的安全性和可控性。以下是一个具体的示例，说明了如何为特定用户（例如EPAY_USER）设置IP地址限制：

CREATE OR REPLACE TRIGGER logon_ip_restriction
AFTER LOGON ON DATABASE
DECLARE
  v_ip VARCHAR2(30);
  v_user VARCHAR2(30);
BEGIN
  SELECT SYS_CONTEXT('USERENV', 'SESSION_USER') INTO v_user FROM DUAL;
  SELECT SYS_CONTEXT('USERENV', 'IP_ADDRESS') INTO v_ip FROM DUAL;
  IF v_user = 'EPAY_USER' THEN
    IF v_ip NOT IN ('192.168.219.20', '192.168.219.22') THEN
      RAISE_APPLICATION_ERROR(-20001, '用户 ' || v_user || ' 不允许从 IP 地址 ' || v_ip || ' 进行连接');
    END IF;
  END IF;
END;
/

此触发器确保只有来自指定IP地址（'192.168.219.20' 和 '192.168.219.22'）的用户EPAY_USER才能成功登录到数据库。若需设置IP段限制，可使用通配符 '%' 或 '?' 替换部分IP地址，例如 '192.168.219.%'。

下面是几个测试场景，以验证触发器的效果：

1. 尝试从不允许的IP地址（如192.168.219.21）登录时，将收到错误信息并拒绝连接。

   [oracle@lxdb2 ~]$ sqlplus epay_user@pri
   SQL*Plus: Release 11.2.0.3.0 Production on Wed Jul 3 19:23:48 2013
   Copyright (c) 1982, 2011, Oracle.  All rights reserved.
   Enter password:
   ERROR:
   ORA-00604: 错误发生在递归SQL级别1
   ORA-20001: 用户 EPAY_USER 不允许从 192.168.219.21 连接
   ORA-06512: 在第10行出现错误

2. 从允许的IP地址（如192.168.219.22）登录时，连接成功。

   [oracle@lxdb1 ~]$ sqlplus epay_user
   SQL*Plus: Release 11.2.0.3.0 Production on Wed Jul 3 11:24:25 2013
   Copyright (c) 1982, 2011, Oracle.  All rights reserved.
   Enter password:
   Connected to:
   Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production
   With the Partitioning, OLAP, Data Mining and Real Application Testing options

3. 从本地（如192.168.219.23）登录时，由于不受IP限制的影响，连接同样会成功。

   [oracle@lxdb1 ~]$ sqlplus epay_user
   SQL*Plus: Release 11.2.0.3.0 Production on Wed Jul 3 11:24:25 2013
   Copyright (c) 1982, 2011, Oracle.  All rights reserved.
   Enter password:
   Connected to:
   Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production
   With the Partitioning, OLAP, Data Mining and Real Application Testing options