在样本中定义了以下 XML 防火墙。
StoreAddLTPA XML 防火墙
StoreAddLTPA XML 防火墙的功能是提供带有端口的前端,用户仅使用基本认证(例如,无 LTPA 或类似项)即可调用该前端。请求处理规则:
- 通过基本认证进行识别。
- 通过非常简单的 LDAP 查找进行认证。
- 在后处理过程中添加 LTPA 令牌。
- 将请求转发至现已附加 LTPA 信息的 StoreWSP 安全策略。
StoreMockService XML 防火墙
StoreMockService 是一个示例服务,它将 XML 防火墙用作实施。
findInventory、购买和退货操作全部受支持。
响应值是静态的。在无法将 WebSphere® Application
Server 包含在模式中时,创建了此示例服务。策略的三个请求规则使用匹配操作来确定请求操作,并根据匹配项通过静态 SOAP 响应做出响应。静态 SOAP 响应是根据请求操作而非完整的服务实施来提供的。
StoreMockServiceAlternate XML 防火墙
StoreMockServiceAlternate 是一个示例服务,它将 XML 防火墙用作实施。findInventory、购买和退货操作全部受支持。
此服务用于演示所执行的路由策略。
StoreXACMLFW 防火墙
本场景根据基于 XACML 的许可/拒绝机制的结果来执行编辑。在 DataPower® 中,无法调用响应流中的个别 AAA 操作。创建了单独的网关以包含 XACML 策略决策点 (PDP)。
此 PDP 封装在 StoreXACMLFW 的请求规则的 AAA 操作中。
StoreXACMLFW 是 DataPower 中的 XML 防火墙网关。由于这是一种提供功能的简单方式,因此使用了此实施。
StoreXML 防火墙使用相同的 WSDL 接口作为 Tivoli® Runtime Security Services 服务器。StoreWSP 网关创建请求对象,并将其(使用 SSL 进行保护)发送到 StoreXMLFW 网关。
StoreXML 防火墙的请求规则执行以下操作:
- 通过将 SSL 信息用于认证来执行 AAA。
- 通过使用 on-box XACML PDP 来执行授权。PDP 使用的策略最初在 IBM® Tivoli Security Policy Manager 中编写,但可以使用标准编辑器进行重新创建,而模式则在 XACML 规范中进行定义。
- 不需要在此授权处理中对请求进行任何变换。
- 如果 XACML 请求有效,那么请求处理规则会访存“许可”响应并返回到客户机。否则,将抛出异常,该异常将由异常处理规则处理,并将“拒绝”响应返回到客户机。
注: 此“许可/拒绝/不确定”仅是示例级别的响应。在特定于客户的流中可能包含其他错误信息。