WebSphere DMZ Secure Proxy Server for IBM WebSphere Application Server

Vous pouvez utiliser le DMZ Secure Proxy Server for IBM® WebSphere Application Server pour fournir une plateforme sécurisée au serveur proxy.

Fonction obsolète Fonction obsolète: DMZ Secure Proxy Server est obsolète pour WebSphere Application Server Traditional version 9.0.depfeat
[z/OS]Important : The DMZ Secure Proxy Server is not available for use on the z/OS operating system for WebSphere Application Server Traditional Version 9.0.

With DMZ Secure Proxy Server for IBM WebSphere Application Server, you can install your proxy server in the demilitarized zone (DMZ), while you reduce the security risk that might occur if you install an application server in the DMZ to host a proxy server. The risk is reduced by removing any functions from the application server that is not required to host the proxy servers, but can pose a security risk. Installing the secure proxy server in the DMZ rather than the secured zone presents new security challenges, however, the secure proxy server is equipped with capabilities to protect from these challenges.

The following capabilities are available to harden the security of the DMZ Secure Proxy Server and to determine the level of security to assign:
Droits utilisateur au démarrage
Le processus de serveur proxy sécurisé peut être modifié afin de s'exécuter avec des droits d'utilisateur non privilégié après le démarrage. Bien que le serveur proxy sécurisé doive être démarré avec des droits d'utilisateur privilégié, le changement du processus serveur afin qu'il s'exécute avec des droits d'utilisateur non privilégié fournit une protection supplémentaire pour les ressources d'exploitation locales.
Remarques de routage
Le serveur proxy sécurisé peut être configuré pour acheminer les demandes vers des serveurs cible en fonction des informations de routage statiques ou dynamiques. Pour le routage statique, les informations seront obtenues à partir de fichiers à plat locaux. Pour le routage dynamique, les informations seront obtenues à partir d'une connexion de tunnel HTTP (Hypertext Transfer Protocol) entre le serveur proxy et un autre serveur dans la zone sécurisée. Il est plus fiable d'utiliser le routage statique, car ce dernier requiert une connexion supplémentaire via le pare-feu interne. Le routage statique est applicable uniquement aux demandes HTTP.
Options d'administration
Le serveur proxy sécurisé ne comprend aucun conteneur Web ; il ne peut donc pas héberger la console d'administration. Il est préférable de ne pas installer de conteneur Web sur un DMZ Secure Proxy Server car l'hébergement d'artefacts d'application est considéré comme un risque, étant donné qu'une empreinte superflue est ajoutée sur le serveur proxy. Le serveur proxy sécurisé est installé séparément et présente différentes options d'administration ayant un impact sur la sécurité.
Traitement des erreurs
Les pages d'erreur personnalisées peuvent être utilisées par le serveur proxy sécurisé, pour des codes d'erreur ou des groupes de codes d'erreur spécifiques. Une application de page d'erreurs personnalisées peut être utilisée pour générer des messages d'erreur. Dans le cas contraire, des fichiers de pages d'erreurs personnalisées à plat peuvent être stockés localement sur le système de fichiers et utilisés lors de l'exécution. Le choix d'utiliser des pages d'erreurs personnalisées à plat à la place d'une application d'erreur personnalisée offre un niveau élevé de sécurité. Le choix de cette option limite le chemin du code et supprime le besoin d'une application potentiellement non autorisée d'être exécutée lorsqu'une page d'erreur est requise.
Refus de la protection de service
Le refus de la protection de service est disponible avec deux propriétés : propriété de taille maximale de bloc de mémoire tampon de demandes et de taille maximale de bloc de mémoire tampon de corps de réponse. Ces propriétés doivent être optimisées pour équilibrer le niveau de protection avec la surcharge des performances pouvant survenir si ces propriétés sont définies de manière incorrecte.
When you create the DMZ Secure Proxy Server, you can choose any of the default security levels: High, Medium, or Low.
  • Niveau de sécurité faible de la zone démilitarisée
    Tableau 1. Valeurs par défaut du niveau de sécurité faible de la zone démilitarisée. Ce tableau décrit les paramètres et les valeurs par défaut pour le niveau de sécurité faible de la zone démilitarisée.
    Réglage Valeur par défaut
    Droits au démarrage Exécuter en tant qu'utilisateur privilégié
    Routage Routage dynamique
    Administration Administration distante
    Traitement des erreurs Gestion de la page d'erreurs locale
  • Niveau de sécurité moyen de la zone démilitarisée
    Tableau 2. Valeurs par défaut du niveau de sécurité moyen de la zone démilitarisée. Ce tableau décrit les paramètres et les valeurs par défaut pour le niveau de sécurité moyen de la zone démilitarisée.
    Réglage Valeur par défaut
    Droits au démarrage Exécuter en tant qu'utilisateur non privilégié
    Routage Routage dynamique
    Administration Administration locale
    Traitement des erreurs Gestion de la page d'erreurs locale
  • Niveau de sécurité élevé de la zone démilitarisée
    Tableau 3. Valeurs par défaut du niveau de sécurité élevé de la zone démilitarisée. Ce tableau décrit les paramètres et les valeurs par défaut pour le niveau de sécurité élevé de la zone démilitarisée.
    Réglage Valeur par défaut
    Droits au démarrage Exécuter en tant qu'utilisateur non privilégié
    Routage Routage statique
    Administration Administration locale
    Traitement des erreurs Gestion de la page d'erreurs locale
Important : The High DMZ security level cannot be used for SIP proxy servers because static routing cannot be used for the SIP proxy server.

Vous pouvez également personnaliser certains paramètres afin qu'ils répondent mieux à vos exigences. Si vous choisissez de personnaliser les paramètres, une catégorisation qualitative de votre niveau de sécurité, appelée niveau de sécurité en cours, est attribuée au DMZ Secure Proxy Server. Each custom setting is assigned a value of High, Medium, or Low. The current security level is equal to the value of the least secure setting that is used. To achieve a current security level of High, only settings assigned the high value can be configured. To achieve a current security level of Medium, only settings with values of High or Medium can be used. A current security level of Low is used if any settings that are assigned the value of Low are set.

Pour améliorer encore la protection du DMZ Secure Proxy Server, vous pouvez passer d'un kit JDK (Java™ Development Kit) à un environnement JRE (environnement d'exécution Java). Cette transition permet de ne pas inclure le compilateur lors de l'installation. This change is beneficial because the compiler can possibly be used for malicious purposes if there is a security breach.

[IBM i]Aucun JRE n'est actuellement disponible pour les systèmes i5/OS ; le système utilisera donc un kit JDK. For protection against this type of threat, you can manually remove the tools.jar file from the JDK installation root.


Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cjpx_secpxdmz
Nom du fichier : cjpx_secpxdmz.html