WebSphere是否提供類似mod_security的HTTP輸入過濾器/防火牆?像WebSphere的mod_security一樣的HTTP輸入過濾器?
我知道有可能讓Apache成爲WebSphere的HTTP服務器前端,但這種配置類型超出了我的影響。我們被困在使用WebSphere本身可以做的事情上。
編輯 - 爲了澄清,我沒有在這裏尋找認證,授權或不可否認的安全方面。我想要一個基於規則的HTTP防火牆,比如mod_security,可以在WebSphere上運行。
另外,我知道在1.x版本中,有一個部分實現了Java中的mod_security。我們目前有一個定製的內部解決方案,它是一個工作相似的,但較少任意配置。謝謝!
J2EE有一個standard方式securing它的應用程序。我建議使用這個。如果你想要做的是古怪的話,你可以看看Custom User Registries (IBM specific),或者與Servlet Filters一起實現一個定製系統。
感謝您的回覆。我們目前使用Servlet過濾器實現了過濾。但是,我們不在HTTP輸入過濾業務中,所以我寧願使用預先打包的解決方案,如mod_security。 – shadit 2008-10-21 21:08:56
有很多針對您的應用服務器前的Web服務器的攻擊,因此您應該也可以控制該Web服務器的配置。
看看webcastellum http://sourceforge.net/projects/webcastellum/ 這是一個Java開源WAF。 不幸的是,維護者的網站只有德文,但他們似乎有一些英文文檔。
他們在他們的文檔WebCastellum說是compatibel所有常用的J2EE服務器: WebCastellum IST kompatibel祖艾倫gängigen的JavaEE-Servern 北德Implementierung馮WebCastellum wurde奧夫Kompatibilität祖艾倫 gängigenJavaEE的-Servern,魏某的Tomcat,BEA Weblogic,JBoss oder WebSphere Wert gelegt。
顯然,你問了一個非常難的問題! – 2008-10-14 20:33:07
是的。還有一個理論,你不應該在意過濾;只是逃避了一切。儘管如此,還是有很多場景需要過濾。 – shadit 2008-10-21 21:07:47