作者: 东缘 编译, 出处:IT专家网, 责任编辑: 张琰珺, 2008-06-03 09:04
当有评测室去年开始测评能够提供XML安全、加速、转换和分析功能的全面的SOA(面向服务的架构)设备时,人们还在担心是否能够在一台设备中找到上述的全部优点,毕竟,至少到现在为止,人们还不能预测到这些领域相互融合的速度及前景。
【IT专家网独家】自从思科去年收购Reactivity公司以来,XML设备市场基本上是很平静的。但是,专注于七层技术的Vordel公司却一直是XML安全网关领域的积极推崇者,面对平静的市场现状,他们需要更坚强。
如人们所知,一个XML安全网关的核心功能就是一个XML防火墙。这是思科、Juniper和F5等相对领先的防火墙厂商们都认为他们有很好优势的一种产品。
随着单独的XML设备成为市场整合的代言人,有关哪一家厂商能够生存的猜测几乎就是一个公开的秘密。毫无疑问,随着人们寻求安全和管理日益增长的SOA架构的产品时,IT界正在收获这种特别竞争所带来的好处。眼下,见证Layer 7公司最新的SecureSpan XML网关SOA设备集成功能的深度和广度就是一个证明。SecureSpan不仅能够控制该公司合作伙伴接触和访问测试中的Web服务的方式,而且还能提供如下功能的运行控制:服务级身份识别、授权、密钥管理、证书验证、完整性、保密性、计划验证、内容检查、数据转换、威胁检测、路由、协议转换、服务级协议强制执行、记录和审计以及其它功能。
近日,在Synegen现实世界合作伙伴实验室对1U Layer 7 SecureSpan XML网络网关设备进行了测试。由于这个硬件设备主要的设置和维护界面都很好,专家们运行和设置这个设备都没有出现任何问题。开始运行后,专家们对于SecureSpan网关提供的工作性能和强大的功能都感到惊喜不已。
开始测试
这个设备的配置界面可以通过一个USB键盘和显示器访问,也可以通过这个设备后面的串口管理端口进行访问。在上述测试中,这两种访问方式都没有问题。在将这个系统设置完毕后,专家们很喜欢通过其客户界面访问SecureSpan管理器,他们很感谢SecureSpan管理器提供了一套预先规定的任务以便控制用户许可。专家们称赞这是一个名副其实的省时装置。
SecureSpan设备实际上是在一个后台配置了MySQL数据库的ApacheTomcat容器中运行的一个代理服务器。Tomcat容器托管处理层。处理层负责管理如下要素:身份提供者、检验证书的证书仓库、与UDDI注册继承在一起、以及记录和审计功能,同时,数据库负责存储这个或者其它的设置信息。
SecureSpan网关支持集群和典型复制各个节点的数据库。在某些情况下,它可能让数据库位于一个完全分开的系统中。这种架构允许Layer 7提供三种形式的产品:能够在Red HatEnterprise Linux4.0、SUSE Linux Enterprise Server 10、Sun微系统公司的Solaris 10或者Sun Sparc等操作系统上运行的软件;一种64位硬件设备(上述测试的正是这种设备);一种在VMware软件上运行的软设备。
锁定服务
在所测试的设备中定义了SecureSpan保护服务如何使用的规则。当然,首先需要说明的是,用户具备权限设置的大量不同类型的规则甚至有些让我们难以应付。但是,好消息却是Layer 7提供了一些用于定义和管理规则的很方便的机制。那么,是否也有坏消息,它们是些什么?答案是,在基于浏览器的SecureSpan管理器中,设置规则的这些功能所能发挥的作用显得有些有限。
规则定义完毕后,专家们就可以通过HTTP执行基本身份识别、XPath证书和服务可用性限制服务。需要说明的是,这些是建立在自动威胁保护功能基础上的。强制执行自动威胁保护功能可以防止各种利用安全漏洞的手段,如基于TCP/IP的攻击、coercive parsing(强制解析)攻击、XML炸弹和外部实体攻击、方案中毒攻击、WSDL扫描和XML路由迂回攻击。
当然,这种设备安装在基于功能强大的AMDOpteron处理器的Sun Fire X4150服务器中。相应的,服务器配置了一个Sun Crypto Accelerator 6000 PCIe卡以加快SSL密码功能。它的SSL性能给专家们留下了深刻的印象。在专家们钦佩实际监视服务指标的仪表盘的同时,他们也注意到,测试时间越长其性能结果就显示得越高。这个设备的Tarari RAX PCI-e XML加速器卡增强了XPath表达、XML计划验证和XSL转换等性能。
结论
当专家们也完成其他部分相关产品的测试时,他们不由得感叹Layer 7公司XML安全网关功能的强大集成,同时也对带有这种XML安全、加速、转换和分析功能的全面SOA设备充满了信心。