La solution I-DBC concentre tout le trafic IIOP entrant sur une seule adresse de transport exactement (1 adresse IP, 1 port). Afin de faire fonctionner CORBA/EJB et NAT ensemble, elle adapte automatiquement et de manière transparente les références d’objet CORBA/EJB (IOR) aux traductions d’adresse réseau (NAT).
La solution I-DBC effectue un chiffrement SSL et authentifie la sécurité du pare-feu au niveau des applications fiables du client. Ensuite, elle effectue l’inspection approfondie des paquets sur tous les flux de données qui doivent être des messages IIOP et bloque tout trafic qui présente du contenu incorrect, mal formé ou malveillant. En outre, la solution I-DBC protège l’infrastructure interne du réseau et des applications contre les attaques, les applications CORBA/EJB contre toute utilisation inappropriée ou tout accès non autorisé, ainsi que les messages IIOP en transit sur le réseau extérieur contre toute exposition et toute utilisation abusive.
La solution I-DBC assure un niveau de sécurité élevé en exécutant des fonctions rigoureuses d’authentification, d’autorisation et d’audit, avec un chiffrement fiable. Elle facilite également la gestion de la sécurité CORBA en centralisant l’administration des stratégies.
Le pare-feu IIOP I-DBC d’OpenFusion, en particulier le proxy IIOP, est conçu et mis en oeuvre pour respecter des principes de conception de pare-feu et des pratiques de mise en oeuvre bien établis. Il ajoute une couche de sécurité supplémentaire pour la protection renforcée des applications à plusieurs niveaux, non seulement dans des scénarios avec IIOP de bout en bout, mais aussi dans de nombreux scénarios J2EE types.
Pour les applications Web J2EE, la solution I-DBC constitue une barrière de sécurité supplémentaire entre le serveur Web et le serveur EJB, offrant ainsi une sécurité fiable pour la logique métier au sein du serveur EJB, même en cas de prise de contrôle du serveur Web à partir d’Internet.
Le pare-feu CORBA OpenFusion (I-DBC) peut s’intégrer à l’infrastructure réseau existante de votre entreprise, sans modification de vos applications existantes, pour une plus grande flexibilité de déploiement. La haute disponibilité est assurée par la prise en charge complète des clusters.
Le pare-feu IIOP OpenFusion est fourni avec tous les composants logiciels nécessaires à l’utilisation d’un pare-feu IIOP d’entreprise (passerelle au niveau de l’application), notamment un composant d’hôte bastion, OpenFusion Security Policy Server et la console d’administration OpenFusion.
Pour les environnements dans lesquels divers middleware sont installés, la solution IIOP DBC peut être déployée avec OpenFusion WS-DBC (Web Services Domain Boundary Controller), ce qui réduit les investissements dans les scénarios qui exigent la sécurité des deux technologies.
Les technologies de pare-feu traditionnelles, comme le filtrage de paquets et l’inspection avec état, ne permettent pas d’exécuter en toute sécurité les applications distribuées basées sur CORBA et EJB via les applications de pare-feu existantes : les middleware CORBA et EJB ne fonctionnent pas avec les concepts de pare-feu traditionnels, et les pare-feu traditionnels n’offrent aucune sécurité au niveau des applications, comme un contrôle granulaire des accès.
Il existe deux problèmes évidents liés à l’utilisation du protocole IIOP (Internet inter-ORB Protocol) sur l’ensemble des pare-feu actuels :
Premièrement, l’allocation dynamique des adresses par les middleware CORBA et EJB permet difficilement de connaître à l’avance les adresses d’hôte et de port utilisées pour les transactions. Par conséquent, les administrateurs de pare-feu ne peuvent pas définir de règles pour le passage du trafic IIOP à travers les pare-feu qui autorisent ce trafic sans fragiliser la sécurité du pare-feu existant.
Deuxièmement, les informations d’adressage des objets CORBA et Enterprise Java Beans, contenues dans les références d’objet, sont invalidées lors du passage à travers un routeur ou un pare-feu NAT.
En outre, la sécurité fiable d’un pare-feu d’entreprise doit intégrer l’inspection approfondie des paquets et l’application de la sécurité au niveau du protocole de l’application, pour tout trafic IIOP franchissant les limites du domaine de l’entreprise. Les fonctions d’authentification des utilisateurs, d’autorisation, de filtrage de contenu, de chiffrement et d’audit de sécurité sont des conditions essentielles à l’exposition sécurisée des services CORBA et EJB aux partenaires et au monde extérieur.
La seule solution viable pour les problèmes et les exigences exposés ci-dessus est la présence d’un composant au niveau de l’application pour l’installation du pare-feu d’entreprise, une passerelle de sécurité IIOP.
Micro Focus propose la seule solution clés en mains, complète et indépendante vis-à-vis des middleware, de pare-feu IIOP et de sécurité des serveurs CORBA/EJB dans les environnements haute sécurité, haute disponibilité et hautes performances.
