WebSphere 適用於 IBM WebSphere Application Server 的 DMZ Secure Proxy Server

您可以使用 適用於 IBM® WebSphere® Application Server 的 DMZ Secure Proxy Server,為 Proxy 伺服器提供一個安全平台。

已淘汰的特性 已淘汰的特性:WebSphere Application Server 傳統版 9.0 版中,DMZ Secure Proxy Server 已淘汰。depfeat
[z/OS]重要: 在 z/OS 作業系統上,DMZ Secure Proxy Server 無法用於 WebSphere Application Server 傳統版 9.0 版。

當使用 適用於 IBM WebSphere Application Server 的 DMZ Secure Proxy Server 時,您可以將 Proxy 伺服器安裝在非管制區 (DMZ) 中,同時又可以降低將應用程式伺服器安裝在 DMZ 中以管理 Proxy 伺服器所可能有的安全風險。 您可以將並非代管 Proxy 伺服器所需要,卻又可能造成安全風險的功能,從應用程式伺服器中移除,以降低風險。 在 DMZ 而非安全區域中安裝安全的 Proxy 伺服器,會帶來新的安全挑戰,不過,安全的 Proxy 伺服器配備了免受這些挑戰的保護功能。

下列功能可用來加強 DMZ Secure Proxy Server 的安全,以及決定要指派的安全層次:
啟動使用者許可權
安全 Proxy 伺服器程序可以變更為在啟動之後,以非特許的使用者身分執行。雖然安全 Proxy 伺服器必須以特許使用者身分來啟動,但將伺服器程序變更為以非特許使用者身分來執行,可提供對於本端作業資源的額外保護。
遞送考量
安全 Proxy 伺服器可以配置成根據靜態遞送資訊或動態資訊,將要求遞送至目標伺服器。靜態遞送表示伺服器是從本端純文字檔取得遞送資訊。動態遞送表示伺服器是透過「超文字傳送通訊協定 (HTTP)」通道連線(從 Proxy 伺服器至安全區域中的伺服器),取得遞送資訊。使用靜態遞送比較安全,因為使用動態遞送時,需要額外的連線,且會穿過內部防火牆。靜態遞送僅適用於 HTTP 要求。
管理選項
安全 Proxy 伺服器不包含 Web 儲存器,因此,無法對管理主控台進行管理。在 DMZ Secure Proxy Server 上沒有 Web 儲存器會比較好,因為管理應用程式構件被視為一項安全風險,且會在 Proxy 伺服器中增加不必要的覆蓋區。安全 Proxy 伺服器採個別安裝,它有一些不同的管理選項,且具有安全隱憂。
錯誤處理
安全 Proxy 伺服器可以針對特定的錯誤碼或一組錯誤碼,使用自訂錯誤頁面。自訂錯誤頁面應用程式可以用來產生錯誤訊息,而一般自訂錯誤頁面檔可以儲存在本端檔案系統上,並在執行時期時使用。選擇使用一般自訂錯誤頁面,而不使用自訂錯誤應用程式,可提供較高的安全層次。選擇這個選項會限制程式碼路徑,並可在需要錯誤頁面時,避免執行可能未獲授權的應用程式。
阻斷服務保護
會提供含有下列兩個內容的阻斷服務保護:「要求內文緩衝區片段大小上限」和「回應內文緩衝區片段大小上限」。這些內容必須調整,以平衡保護層次,以及這些內容設定不當時可能發生的效能負荷。
當您建立 DMZ Secure Proxy Server 時,您可以選擇任何預設安全層次:高、中或低。
  • 低 DMZ 安全層次
    表 1. 低 DMZ 安全層次預設值. 這個表格說明低 DMZ 安全層次的設定和預設值。
    設定 預設值
    啟動許可權 以特許使用者身分執行
    遞送 動態遞送
    管理 遠端管理
    錯誤處理 本端錯誤頁面處理
  • 中 DMZ 安全層次
    表 2. 中 DMZ 安全層次預設值. 這個表格說明中 DMZ 安全層次的設定和預設值。
    設定 預設值
    啟動許可權 以非特許使用者身分執行
    遞送 動態遞送
    管理 本端管理
    錯誤處理 本端錯誤頁面處理
  • 高 DMZ 安全層次
    表 3. 高 DMZ 安全層次預設值. 這個表格說明高 DMZ 安全層次的設定和預設值。
    設定 預設值
    啟動許可權 以非特許使用者身分執行
    遞送 靜態遞送
    管理 本端管理
    錯誤處理 本端錯誤頁面處理
重要: 「高 DMZ 安全層次」不能用於 SIP Proxy 伺服器,因為靜態遞送不能用於 SIP Proxy 伺服器。

除了這些預先定義的設定之外,您還可以自訂設定,以便更符合您的需求。如果您選擇自訂設定,會指派一種稱為現行安全層次的安全層次定性分類給 DMZ Secure Proxy Server。每一項自訂設定都會指派值。 現行安全層次等於所用最低安全設定的值。 如果要使現行安全層次達到,就只能配置指派「高」值的設定。 如果要使現行安全層次達到,就只能使用值為「高」或「中」的設定。 只要設定任何指派了「低」值的設定,就會使用現行安全層次

您可以進行另一項變更,來加強 DMZ Secure Proxy Server 的保護,亦即,從 Java™ Development Kit (JDK) 切換到「Java 執行時期環境 (JRE)」。一旦從 JDK 切換到 JRE,在安裝時就不會包含編譯器。這項變更有其好處,因為萬一發生安全侵害,編譯器有可能用於惡意用途。

[IBM i]目前沒有 JRE 可用於 i5/OS™ 系統;因此會使用 JDK。為了保護不受這類型的威脅,您可以從 JDK 安裝根目錄中手動移除 tools.jar 檔。


指出主題類型的圖示 概念主題



時間戳記圖示 前次更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cjpx_secpxdmz
檔名:cjpx_secpxdmz.html