I-DBC 将所有入站 IIOP 通信切实集中到同一个传输地址(1 个 IP 地址,1 个端口)。为了使 CORBA/EJB 和 NAT 一同运行,它会自动且透明地调整 CORBA/EJB 对象参照 (IOR),以便与 NAT 转换地址匹配。
I-DBC 执行 SSL 加密,并验证客户端的可靠应用程序级别的防火墙安全性。然后,I-DBC 对可能为 IIOP 讯息的所有数据流执行深度封包检查,并拦截包含错误信息、错误格式或恶意内容的所有通信。此外,I-DBC 可保护内部网络和应用程序基础设施免受攻击,保护 CORBA/EJB 应用程序不被滥用和越权访问,保护正通过外部网络传输的 IIOP 讯息不被泄漏和篡改。
通过实施强身份验证、授权、审计以及可靠加密,I-DBC 可确保拥有较高程度的安全性。此外,通过提供集中的策略管理,它还支持轻松实现 CORBA 安全管理。
OpenFusion I-DBC IIOP 防火墙(特别是 IIOP 代理组件)的设计和实施旨在遵循完善的防火墙设计原则和实施实践。它为多级应用程序额外添加了一层深度安全防护层,不仅是针对 IIOP 端到端场景,也针对典型的 J2EE 场景。
对于 J2EE Web 应用程序而言,I-DBC 在 Web 服务器和 EJB 服务器之间额外构建了一个安全屏障,为 EJB 服务器中的商业逻辑提供可靠的安全性,即使在通过因特网成功取代 Web 服务器的情况下也是如此。
OpenFusion 的 CORBA 防火墙 (I-DBC) 可在不更改现有应用程序的情况下与公司现有的网络基础设施集成,确保实现部署灵活性。完全支持群集,以此实现高可用性。
OpenFusion 的 IIOP 防火墙包含运行企业 IIOP 防火墙(应用程序级别的网关)所需的所有软件组件,包括堡垒主机组件、OpenFusion Security 策略服务器以及 OpenFusion 管理控制台。
对于已安装多种中间件软件的环境而言,IIOP DBC 可与 OpenFusion 的 WS-DBC(Web 服务域边界控制器)一起部署,从而为需要确保两种技术安全的场景节省投资。
传统型防火墙技术(例如包过滤和状态检测)不会提供通过现有防火墙装置安全运行 CORBA 和基于 EJB 分布式应用程序的方法:传统防火墙概念不支持 CORBA 和 EJB 中间件协同运行,且传统型防火墙不会提供应用程序级安全性,例如细化的访问控制。
如果要在现今的防火墙内使用因特网对象请求代理间协议 (IIOP),存在两个明显问题:
第一,CORBA 和 EJB 中间件会动态分配地址,这使得我们难以预先获知事务所用的主机和端口地址。因此,防火墙管理员无法通过允许 IIOP 通过但不减弱现有防火墙安全性的防火墙来为通过的 IIOP 通讯设定防火墙规则。
第二,在跨越网络地址转换路由器或防火墙时,包含在对象参照中的 CORBA 对象和企业 Java Bean 的寻址信息无效。
此外,对于跨越企业域编辑的所有 IIOP 通讯,可靠的企业防火墙安全性必须包含应用程序协议级别的深度封包检查和安全性增强。在向业务合作伙伴和外界安全提供 CORBA 和基于 EJB 的服务期间,用户身份验证、授权、内容过滤、加密以及安全性审计都是基本要求。
唯一能够解决上述问题和需求的可行解决方案即是适用于企业防护墙装置的应用程序级别的防火墙组件 — IIOP 安全网关。
Micro Focus 在具备高安全性、高可用性以及高性能的环境内提供可实现 IIOP 防火墙和 CORBA/EJB 服务器安全的唯一全面且独立于中间件的完整解决方案。
