I-DBC konzentriert sämtlichen IIOP-Datenverkehr auf genau eine Transportadresse (1 IP-Adresse, 1 Port). Damit CORBA/EJB und NAT zusammen funktionieren, wandelt die Lösung CORBA/EJB-Objektverweise (IOR, Interoperable Object Reference) automatisch in NAT-übersetzte Adressen um.
Der I-DBC führt eine SSL-Verschlüsselung durch und authentifiziert Clients für zuverlässige Firewallsicherheit auf Anwendungsebene. Dann führt der I-DBC eine Deep Packet Inspection sämtlicher Datenströme durch, von denen erwartet wird, dass es sich um IIOP-Meldungen handelt, und blockiert sämtlichen Datenverkehr mit inkorrekten, falsch formatierten oder schädlichen Inhalten. Darüber hinaus schützt der I-DBC interne Netzwerk- und Anwendungsinfrastrukturen vor Angriffen, die CORBA/EJB-Anwendungen vor Missbrauch und nicht autorisiertem Zugriff sowie die IIOP-Meldungen, die sich auf dem Übertragungsweg außerhalb des Netzwerks befinden, vor Offenlegung und Manipulation.
I-DBC gewährleistet ein hohes Maß an Sicherheit durch leistungsstarke Authentifizierung, Autorisierung und Revision sowie zuverlässige Verschlüsselung. Die Lösung ermöglicht darüber hinaus ein einfaches CORBA-Security Management durch zentralisierte Richtlinienverwaltung.
Die OpenFusion I-DBC-IIOP-Firewall – insbesondere die IIOP-Proxy-Komponente – wurde anhand bewährter Designprinzipien für Firewalls und Implementierungspraktiken entwickelt und implementiert. Sie fügt nicht nur in Szenarios mit IIOP von Ende zu Ende, sondern auch in typischen J2EE-Szenarios eine zusätzliche Sicherheitsebene für tief gehende Verteidigung zu Anwendungen mit mehreren Ebenen hinzu.
Bei J2EE-Webanwendungen schafft der I-DBC eine zusätzliche Schutzbarriere zwischen Webserver und EJB-Server und bietet so zuverlässige Sicherheit für die Geschäftslogik auf dem EJB-Server – selbst, wenn der Webserver erfolgreich über das Internet übernommen wird.
Die CORBA-Firewall (I-DBC) von OpenFusion lässt sich in die vorhandene Netzwerkinfrastruktur Ihres Unternehmens integrieren, ohne dass hierfür Änderungen an bestehenden Anwendungen erforderlich sind. So wird eine hohe Flexibilität bei der Bereitstellung gewährleistet. Die Hochverfügbarkeit wird über die vollständige Unterstützung von Clustern ermöglicht.
Die IIOP-Firewall von OpenFusion wird mit allen Softwarekomponenten bereitgestellt, die für den Betrieb einer unternehmenseigenen IIOP-Firewall (Gateway auf Anwendungsebene) erforderlich sind, einschließlich einer Bastion Host-Komponente, dem OpenFusion-Server für Sicherheitsrichtlinien und der OpenFusion-Administrationskonsole.
In Umgebungen mit einer Vielzahl installierter Middleware kann der IIOP-DBC gemeinsam mit dem WS-DBC, dem Web Services Domain Boundary Controller, von OpenFusion implementiert werden. So sparen Sie sich Investitionen in Szenarien, die eine Sicherheitslösung für beide Technologien erfordern.
Herkömmliche Firewalltechnologien, wie z. B. die Paketfilterung oder Stateful-Inspections, verfügen nicht über die Mittel, CORBA- und EJB-basierte verteilte Anwendungen über vorhandene Firewallinstallationen sicher auszuführen: CORBA- und EJB-Middleware funktioniert nicht gemeinsam mit traditionellen Firewallkonzepten, und herkömmliche Firewalls bieten keine Sicherheit auf Anwendungsebene, wie z. B. eine fein abgestufte Zugriffskontrolle.
Bei der Verwendung des Internet Inter-ORB Protocol (IIOP) in Verbindung mit heutigen Firewalls ergeben sich zwei offensichtliche Probleme:
Zunächst macht es die dynamische Zuordnung von Adressen durch CORBA- und EJB-Middleware schwierig, die für Transaktionen verwendeten Host- und Portadressen im Vorhinein zu kennen. Daher können Firewalladministratoren keine Firewallregeln für die Übermittlung von IIOP-Datenverkehr durch die Firewall festlegen, die nicht gleich die Sicherheit der vorhandenen Firewall gefährden würden.
Darüber hinaus verlieren die in den Objektverweisen enthaltenen Adressierungsinformationen von CORBA-Objekten und Enterprise Java Beans beim Durchlaufen eines Routers zum Übersetzen der Netzwerkadresse oder einer Firewall ihre Gültigkeit.
Weiterhin muss eine zuverlässige Unternehmensfirewall Deep Packet Inspections und die Sicherheitsdurchsetzung auf Ebene des Anwendungsprotokolls für sämtlichen IIOP-Datenverkehr beinhalten, der die Domäne des Unternehmens passiert. Benutzerauthentifizierung, Autorisierung, Inhaltsfilterung, Verschlüsselung und Sicherheitsaudits sind unerlässliche Anforderungen für die sichere Bereitstellung von CORBA- und EJB-basierten Services an Business Partner und andere Benutzer außerhalb des Unternehmens.
Die einzige geeignete Lösung der oben genannten Herausforderungen und Anforderungen ist eine unternehmenseigene Firewallkomponente auf Anwendungsebene, ein IIOP-Sicherheits-Gateway.
Micro Focus bietet die einzige vollständige, von Middleware unabhängige und sofort einsatzbereite Lösung für IIOP-Firewalls und CORBA/EJB-Serversicherheit in hoch sicheren und hoch verfügbaren High-Performance-Umgebungen.
