HTTP входной фильтр, такой как mod_security для WebSphere?

Question

Предлагает ли WebSphere фильтр ввода HTTP / межсетевой экран, такой как mod_security?

Я знаю, что Apache может быть внешним интерфейсом HTTP-сервера для WebSphere, но этот тип конфигурации вне моего влияния. Мы застряли, используя только то, что может сделать сам WebSphere.

РЕДАКТИРОВАТЬ - Чтобы уточнить, я не ищу аспекты безопасности аутентификации, авторизации или безотказности. Мне нужен HTTP-брандмауэр на основе правил, такой как mod_security, который работает в WebSphere.

Также я знаю, что в версии 1.x была частичная реализация mod_security в Java. В настоящее время у нас есть собственное, собственное решение, похожее на работу, но менее произвольно настраиваемое. Спасибо!

Answer 1

J2EE имеет стандартный способ защиты своих приложений. Я рекомендую использовать это. Если вы пытаетесь сделать что-то странное, вы можете посмотреть Пользовательские реестры пользователей (для IBM) или внедрить пользовательскую систему вместе с Сервлет-фильтрами .

Answer 2

Посмотрите на webcastellum http://sourceforge.net/projects/webcastellum/ Это Java с открытым исходным кодом WAF. К сожалению, сайт сопровождающих только на немецком языке, но у них, похоже, есть какая-то английская документация.

В своей документации они говорят, что WebCastellum совместим со всеми распространенными J2EE-серверами: WebCastellum ist compatibel zu allen gängigen JavaEE-Servern Внедрение веб-сайтов и веб-сайтов для бизнеса gängigen JavaEE-Servern, wie Tomcat, BEA Weblogic, JBoss oder WebSphere Wert gelegt.

Answer 3

Существует множество атак, направленных на веб-сервер перед вашим сервером приложений, поэтому вы также должны получить контроль над конфигурацией этого веб-сервера.