Входной фильтр HTTP, например mod_security для WebSphere?

Question

Предлагает ли WebSphere входной фильтр HTTP/межсетевой экран, например mod_security?

Я знаю, что Apache может быть интерфейсом HTTP-сервера в WebSphere, но этот тип конфигурации не зависит от моего влияния. Мы застряли, используя то, что может сделать сам WebSphere.

EDIT - Чтобы уточнить, я не ищу здесь возможности аутентификации, авторизации или неотказуемости. Я хочу использовать HTTP-брандмауэр на основе правил, например mod_security, который работает в WebSphere.

Кроме того, я знаю, что в версии 1.x была частичная реализация mod_security в Java. В настоящее время у нас есть обычное, внутреннее решение, которое работает одинаково, но менее произвольно настраивается. Благодаря!

Answer 1

J2EE имеет standard способ securing это приложения. Я рекомендую использовать это. Если вы пытаетесь сделать это, вы можете посмотреть Custom User Registries (IBM specific) или реализовать пользовательскую систему вместе с Servlet Filters.

Answer 2

Существует множество атак, которые нацелены на веб-сервер перед вашим сервером приложений, поэтому вы должны получить контроль над конфигурацией этого веб-сервера.

Answer 3

Посмотрите на webcastellum http://sourceforge.net/projects/webcastellum/ Это WAF Java Opensource. К сожалению, Wesbsite сопровождающих работает только на немецком языке, но, похоже, у них есть английская документация.

Они говорят, что в их документации WebCastellum является compatibel всех общих J2EE-сервера: WebCastellum IST kompatibel ца шестигранного gängigen JavaEE-Servern Bei дер Implementierung фон WebCastellum Würde ауф Kompatibilität цы шестигранного gängigen JavaEE-Servern, Wie Tomcat, BEA Weblogic, JBoss order WebSphere Wert gelegt.