範例中的 XML 防火牆

下列 XML 防火牆已在範例中定義。

StoreAddLTPA XML 防火牆

StoreAdd LTPA XML 防火牆的功能為提供前端系統一個埠,使用者僅能使用「基本」鑑別(例如,沒有 LTPA)來呼叫該埠。要求處理規則:
  1. 利用「基本」鑑別識別。
  2. 利用簡式 LDAP 查閱鑑別。
  3. 新增 LTPA 記號作為後置處理的一部分。
  4. 將要求轉遞至 StoreWSP 安全原則,並現在附加 LTPA 資訊。

StoreMockService XML 防火牆

StoreMockService 是使用「XML 防火牆」作為實作的範例服務。findInventory、purchase 及 return 作業全都受到支援。回應值為靜態。當型樣中不可能包括 WebSphere® Application Server 時,即會建立此範例服務。原則的三個要求規則會使用比對動作,以判定要求作業,並根據相符項,利用靜態 SOAP 回應來回應。靜態 SOAP 回應是根據要求作業而非完整服務實作來提供。

StoreMockServiceAlternate XML 防火牆

StoreMockServiceAlternate 是使用「XML 防火牆」作為實作的範例服務。findInventory、purchase 及 return 作業全都受到支援。此服務是用來示範如何強制執行遞送原則。

StoreXACMLFW 防火牆

此實務範例會根據 XACML 型允許/拒絕機制的結果來執行編寫。在 DataPower® 中,沒有任何方法,可在回應流程中呼叫個別 AAA 動作。會建立個別閘道,以包含「XACML 原則決策點 (PDP)」。此 PDP 是依 StoreXACMLFW 的要求規則封裝在 AAA 動作中。

StoreXACMLFW 為 DataPower 中的 XML 防火牆閘道。使用此實作的原因為它是提供功能的簡單方式。StoreXML 防火牆會使用與 Tivoli® Runtime Security Services 伺服器相同的 WSDL 介面。StoreWSP 閘道會建立要求物件,並以 SSL 保護,將它傳送至 StoreXMLFW 閘道。

StoreXML 防火牆的要求規則會執行下列作業:

  1. 對鑑別使用 SSL 資訊執行 AAA。
  2. 使用立即可用的 XACML PDP 執行授權。PDP 使用的原則原先是在 IBM® Tivoli Security Policy Manager 中編寫的,但是可以使用標準編輯器重建,而綱目則是在 XACML 規格中定義。
  3. 在此授權處理中,不需要轉換要求。
  4. 如果 XACML 要求有效,則要求處理規則會提取「允許」回應,並傳回給用戶端。否則,會發生異常狀況處理規則所處理的異常狀況,並將「拒絕」回應傳回給用戶端。
註: 「允許/拒絕/不確定」僅是範例層次回應。可以在客戶特定流程中併入其他錯誤資訊。

概念 概念

反饋


「時間戳記」圖示 前次更新: 2014 年 3 月 5 日


http://publib.boulder.ibm.com/infocenter/prodconn/v1r0m0/topic/com.ibm.scenarios.soawdpwsrr25.doc/topics/csoa2_sample_firewalls.htm