样本中的 XML 防火墙

在样本中定义了以下 XML 防火墙。

StoreAddLTPA XML 防火墙

StoreAddLTPA XML 防火墙的功能是提供带有端口的前端,用户仅使用基本认证(例如,无 LTPA 或类似项)即可调用该前端。请求处理规则:
  1. 通过基本认证进行识别。
  2. 通过非常简单的 LDAP 查找进行认证。
  3. 在后处理过程中添加 LTPA 令牌。
  4. 将请求转发至现已附加 LTPA 信息的 StoreWSP 安全策略。

StoreMockService XML 防火墙

StoreMockService 是一个示例服务,它将 XML 防火墙用作实施。 findInventory、购买和退货操作全部受支持。 响应值是静态的。在无法将 WebSphere® Application Server 包含在模式中时,创建了此示例服务。策略的三个请求规则使用匹配操作来确定请求操作,并根据匹配项通过静态 SOAP 响应做出响应。静态 SOAP 响应是根据请求操作而非完整的服务实施来提供的。

StoreMockServiceAlternate XML 防火墙

StoreMockServiceAlternate 是一个示例服务,它将 XML 防火墙用作实施。findInventory、购买和退货操作全部受支持。 此服务用于演示所执行的路由策略。

StoreXACMLFW 防火墙

本场景根据基于 XACML 的许可/拒绝机制的结果来执行编辑。在 DataPower® 中,无法调用响应流中的个别 AAA 操作。创建了单独的网关以包含 XACML 策略决策点 (PDP)。 此 PDP 封装在 StoreXACMLFW 的请求规则的 AAA 操作中。

StoreXACMLFW 是 DataPower 中的 XML 防火墙网关。由于这是一种提供功能的简单方式,因此使用了此实施。 StoreXML 防火墙使用相同的 WSDL 接口作为 Tivoli® Runtime Security Services 服务器。StoreWSP 网关创建请求对象,并将其(使用 SSL 进行保护)发送到 StoreXMLFW 网关。

StoreXML 防火墙的请求规则执行以下操作:

  1. 通过将 SSL 信息用于认证来执行 AAA。
  2. 通过使用 on-box XACML PDP 来执行授权。PDP 使用的策略最初在 IBM® Tivoli Security Policy Manager 中编写,但可以使用标准编辑器进行重新创建,而模式则在 XACML 规范中进行定义。
  3. 不需要在此授权处理中对请求进行任何变换。
  4. 如果 XACML 请求有效,那么请求处理规则会访存“许可”响应并返回到客户机。否则,将抛出异常,该异常将由异常处理规则处理,并将“拒绝”响应返回到客户机。
注: 此“许可/拒绝/不确定”仅是示例级别的响应。在特定于客户的流中可能包含其他错误信息。

概念 概念

反馈


时间戳记图标 最近一次更新时间: 2012年10月16日


http://publib.boulder.ibm.com/infocenter/prodconn/v1r0m0/topic/com.ibm.scenarios.soawdpwsrr.doc/topics/csoa2_sample_firewalls.htm