Filtre d'entrée HTTP comme mod_security pour WebSphere?

Question

Est-ce que WebSphere offre un filtre/pare-feu d'entrée HTTP comme mod_security?

Je sais qu'il est possible qu'Apache soit le serveur frontal HTTP de WebSphere, mais ce type de configuration est hors de mon influence. Nous sommes bloqués en utilisant exactement ce que WebSphere peut faire.

EDIT - Pour clarifier, je ne cherche pas les aspects d'authentification, d'autorisation ou de non-répudiation de la sécurité ici. Je veux un pare-feu HTTP basé sur des règles comme mod_security qui fonctionne sur WebSphere.

Aussi, je sais que dans la version 1.x, il y avait une implémentation partielle de mod_security en Java. Nous disposons actuellement d'une solution interne personnalisée, similaire à celle du travail, mais moins arbitrairement configurable. Merci!

Answer 1

J2EE a un standard manière de securing c'est applications. Je recommande d'utiliser cela. Si ce que vous essayez de faire est bizarre, vous pouvez regarder Custom User Registries (IBM specific), ou implémenter un système personnalisé tous ensemble avec Servlet Filters.

Answer 2

De nombreuses attaques ciblent le serveur Web devant votre serveur d'applications. Vous devez donc également contrôler la configuration de ce serveur Web.

Answer 3

Jetez un coup d'œil à webcastellum http://sourceforge.net/projects/webcastellum/ Il s'agit d'un WAF Java Opensource. Malheureusement, le Wesbsite des mainteneurs est en allemand seulement, mais ils semblent avoir de la documentation en anglais.

Ils disent dans leur documentation WebCastellum est compatible avec tous les courants J2EE Serveurs: WebCastellum ist kompatibel zu allen gängigen JavaEE-Servern Bei der Implementierung von WebCastellum wurde auf Kompatibilität zu allen gängigen JavaEE-Servern, wie Tomcat, BEA Weblogic, JBoss ou WebSphere Wert gelegt.