WebSphere是否提供类似mod_security的HTTP输入过滤器/防火墙?像WebSphere的mod_security一样的HTTP输入过滤器?
我知道有可能让Apache成为WebSphere的HTTP服务器前端,但这种配置类型超出了我的影响。我们被困在使用WebSphere本身可以做的事情上。
编辑 - 为了澄清,我没有在这里寻找认证,授权或不可否认的安全方面。我想要一个基于规则的HTTP防火墙,比如mod_security,可以在WebSphere上运行。
另外,我知道在1.x版本中,有一个部分实现了Java中的mod_security。我们目前有一个定制的内部解决方案,它是一个工作相似的,但较少任意配置。谢谢!
J2EE有一个standard方式securing它的应用程序。我建议使用这个。如果你想要做的是古怪的话,你可以看看Custom User Registries (IBM specific),或者与Servlet Filters一起实现一个定制系统。
感谢您的回复。我们目前使用Servlet过滤器实现了过滤。但是,我们不在HTTP输入过滤业务中,所以我宁愿使用预先打包的解决方案,如mod_security。 – shadit 2008-10-21 21:08:56
有很多针对您的应用服务器前的Web服务器的攻击,因此您应该也可以控制该Web服务器的配置。
看看webcastellum http://sourceforge.net/projects/webcastellum/ 这是一个Java开源WAF。 不幸的是,维护者的网站只有德文,但他们似乎有一些英文文档。
他们在他们的文档WebCastellum说是compatibel所有常用的J2EE服务器: WebCastellum IST kompatibel祖艾伦gängigen的JavaEE-Servern 北德Implementierung冯WebCastellum wurde奥夫Kompatibilität祖艾伦 gängigenJavaEE的-Servern,魏某的Tomcat,BEA Weblogic,JBoss oder WebSphere Wert gelegt。
显然,你问了一个非常难的问题! – 2008-10-14 20:33:07
是的。还有一个理论,你不应该在意过滤;只是逃避了一切。尽管如此,还是有很多场景需要过滤。 – shadit 2008-10-21 21:07:47