XML na podglądzie

Rozwiązania typu XML firewall umożliwiają wydajne filtrowanie protokołów aplikacyjnych opartych na XML.

Rozwiązania typu XML firewall umożliwiają wydajne filtrowanie protokołów aplikacyjnych opartych na XML.

Bezpieczeństwo aplikacji

Tradycyjne zapory firewall świetnie sobie radzą z zabezpieczaniem firmowej sieci i działających w niej usług, takich jak HTTP czy SMTP. Najczęściej jednak nie analizują zawartości pakietów IP, ograniczając się do badania treści ich nagłówków. Wraz z popularyzacją protokołów opartych na XML rośnie ryzyko, że hakerowi uda się przemycić złośliwy kod głęboko zaszyty w pakiecie sieciowym. Tym sposobem intruz może próbować włamania do systemu informatycznego przez najpilniej strzeżone drzwi z napisem port 80, będąc niemal pewny, że nikt go nie zauważy.

Remedium na ten problem są coraz liczniej pojawiające się na rynku rozwiązania zwane XML fire wall. Sprzętowo-programowe systemy oferowane przez takie firmy, jak Data-Power Technology, Forum Systems i Reactivity, pozwalają wydajnie filtrować protokoły oparte na XML pod kątem zgodności z założonymi przez administratora regułami. Gdy wykryją złośliwy kod, mogą albo powiadomić administratora, albo w locie zmienić treść pakietu, uniemożliwiając wykonanie niedozwolonej operacji. Z punktu widzenia funkcjonalności nie ma między nimi istotnych różnic. Każdy filtruje ruch XML, weryfikuje uprawnienia do wykorzystujących je usług i szyfruje dane. Różnice dotyczą głównie sposobów definiowania i realizacji polityk bezpieczeństwa, a także interfejsu użytkownika.

Dzięki temu, że nie są to rozwiązania czysto programowe, możliwe jest osiągnięcie dużej wydajności filtrowania. Centralizacja filtrowania w jednym miejscu zwalnia projektantów systemów z konieczności włączania funkcjonalności tego rodzaju, np. w formie agentów, do każdej aplikacji. Ułatwia to również ich integrację z innymi działającymi w firmie rozwiązaniami uwierzytelniającymi i zabezpieczającymi.

DataPowerXS40 XML Security

XML na podglądzie

Zapora tradycyjna i zapora XML w jednej sieci

GatewayKonfiguracja DataPower XS40 wymaga utworzenia wirtualnej zapory dla każdej usługi, która ma być udostępniana na zewnątrz. Każdy wirtualny firewall jest indywidualnie konfigurowany - administrator określa procedury zabezpieczeń, definiując odpowiednie arkusze stylów XSL, które mogą zawierać reguły filtrowania, obsługi cyfrowych certyfikatów, weryfikacji podpisów, sprawdzania poprawności schematów XML (Schema validation), szyfrowania/deszyfrowania danych i routingu. W skład DataPower XS40 wchodzi zestaw standardowych arkuszy stylów, które mogą być modyfikowane i przystosowywane do indywidualnych wymagań użytkowników.

Każdą wirtualną zaporę można skonfigurować jako oddzielny HTTP reverse proxy, który za pomocą translacji adresów URL ukrywa rzeczywiste ścieżki URL usługi przed użytkownikami. Konfiguracja urządzenia może być wykonywana za pośrednictwem złącza szeregowego RS232 lub sieci LAN/WAN. System udostępnia interfejs linii poleceń (SSH) lub WWW. Zaletą tego drugiego jest prezentacja logicznego modelu zabezpieczeń ułatwiającego kontrolę i konfigurację uprawnień każdego użytkownika systemu za pomocą systemu ról.

XS40 wykorzystuje opracowane przez firmę specjalizowane układy o nazwie XG3 (XML Generation 3) pozwalające sprzętowo przyspieszyć przetwarzanie danych XML. Według producenta akceleracja sprzętowa zapewnia wydajność blisko 10-krotnie większą niż w przypadku rozwiązań opartych wyłącznie na oprogramowaniu. Architektura XG3 umożliwia kontrolę każdej przesyłanej w sieci wiadomości SOAP bez spowalniania działania systemu.

Forum Sentry 1503

Urządzenie Forum Sentry jest wyposażone w trzy interfejsy do zarządzania. Do konfiguracji urządzenia służy konsola znakowa podobna do tej, jaką udostępniają urządzenia Cisco z systemem IOS. Do zarządzania politykami bezpieczeństwa dla poszczególnych serwerów jest przeznaczony interfejs WWW, tzw. Server Policy. Z kolei pod kątem projektowania zasad polityk bezpieczeństwa opracowano oddzielny interfejs oparty na Javie.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200