在样本中定义了以下 XML 防火墙。
StoreAddLTPA XML 防火墙
StoreAdd LTPA XML 防火墙的功能是提供带有端口的前端,用户可以只使用基本认证(例如,无 LTPA)来调用该前端。请求处理规则:
- 通过基本认证进行识别。
- 通过简单的 LDAP 查找进行认证。
- 在后处理过程中添加 LTPA 令牌。
- 将请求转发至现已附加 LTPA 信息的 StoreWSP 安全策略。
StoreMockService XML 防火墙
StoreMockService 是一个示例服务,它将 XML 防火墙用作实施。
findInventory、购买和退货操作全部受支持。
响应值是静态的。在无法将 WebSphere® Application
Server 包含在模式中时,创建了此示例服务。策略的三个请求规则使用匹配操作来确定请求操作,并根据匹配项通过静态 SOAP 响应做出响应。静态 SOAP 响应是根据请求操作而非完整的服务实施来提供的。
StoreMockServiceAlternate XML 防火墙
StoreMockServiceAlternate 是一个示例服务,它将 XML 防火墙用作实施。findInventory、购买和退货操作全部受支持。
此服务用于演示路由策略的实施。
StoreXACMLFW 防火墙
本场景根据基于 XACML 的许可/拒绝机制的结果来执行编辑。在 DataPower® 中,无法调用响应流中的个别 AAA 操作。创建了单独的网关以包含 XACML 策略决策点 (PDP)。
此 PDP 封装在 StoreXACMLFW 的请求规则的 AAA 操作中。
StoreXACMLFW 是 DataPower 中的 XML 防火墙网关。由于这是提供该功能的简单方法,因此使用了此实施。
StoreXML 防火墙使用相同的 WSDL 接口作为 Tivoli® Runtime Security Services 服务器。StoreWSP 网关创建请求对象,并将其(受 SSL 保护)发送到 StoreXMLFW 网关。
StoreXML 防火墙的请求规则执行以下任务:
- 通过将 SSL 信息用于认证来执行 AAA。
- 通过使用事先指定的 XACML PDP 来执行授权。PDP 使用的策略最初在 IBM®
Tivoli Security Policy Manager 中编写,但可以使用标准编辑器进行重新创建,而模式则在 XACML 规范中进行定义。
- 不需要在此授权处理中对请求进行任何变换。
- 如果 XACML 请求有效,那么请求处理规则会访存“许可”响应并返回到客户机。否则,将发生异常,该异常将由异常处理规则进行处理,并将“拒绝”响应返回到客户机。
注: “许可/拒绝/不确定”只是示例级别的响应。在特定于客户的流中可能包含其他错误信息。