WebSphere 是否提供像 mod_security 这样的 HTTP 输入过滤器/防火墙?
我知道让 Apache 成为 WebSphere 的 HTTP 服务器前端是可能的,但这种类型的配置超出了我的影响。我们只能使用 WebSphere 本身可以做的事情。
编辑-澄清一下,我不是在这里寻找安全性的身份验证、授权或不可否认方面。我想要一个基于规则的 HTTP 防火墙,比如在 WebSphere 上运行的 mod_security。
另外,我知道在 1.x 版本中,Java 中有 mod_security 的部分实现。我们目前有一个定制的内部解决方案,它与工作类似,但不那么随意配置。谢谢!
J2EE 具有保护其应用程序的标准方法。我推荐使用这个。如果您尝试做的事情很奇怪,您可以查看Custom User Registries (IBM specific) ,或者与Servlet Filters一起实现自定义系统。
有许多攻击针对您的应用程序服务器前面的 Web 服务器,因此您也应该控制该 Web 服务器的配置。
看看 webcastellum http://sourceforge.net/projects/webcastellum/ 它是一个 Java 开源 WAF。可悲的是,维护者的网站只有德语,但他们似乎有一些英文文档。
他们在他们的文档中说 WebCastellum 与所有常见的 J2EE 服务器兼容:WebCastellum ist kompatibel zu allen gängigen JavaEE-Servern Bei der Implementierung von WebCastellum wurde auf Kompatibilität zu allen gängigen JavaEE-Servern, wie Tomcat, BEA Weblogic, JBoss oder WebSphere Wert gelegt .