DataPower中文介绍.ppt

不断创新发展的SOA利器 WebSphereDataPower 田伟IBM软件高级信息工程师tianwei 今天 IBMSOA正在推动信息技术革命 简化IT结构 减少了接口数量 降低了维护成本松耦合 增加了系统的灵活性和扩展能力采用开放标准 方便 快速应对未来变化 统一架构支持不同业务需求 资产重用 保护投资 结构复杂 接口繁多 维护成本增加迅猛紧密集成 自定义代码多 系统僵化 常被技术封锁 对开发人员依赖很大 可扩展能力脆弱 重复建设 重复投资现象严重 传统项目方式 IBMSOA新方式 现有应用 新应用 n n 1 n 企业服务总线 ESB 是一个整合SOA应用和服务的灵活 可扩展 互连的基础架构 一个企业服务总线可以解决服务提供者和服务请求者之间的 协议转换在不同的传输协议之间进行转换 适配和路由 基于内容的动态路由 在不同的服务之间进行通信 报文格式转换不同的数据格式 识别和分发业务事件 DataPower提供了一个安全 高效 简单和可管控的ESB解决方案 除了提供SOA连通性 我们还应该关注 简约 安全 高效 可管 WebSphereDataPower安全网关 XML攻击方式 XMLEntityExpansionandRecursionAttacksXMLDocumentSizeAttacksXMLDocumentWidthAttacksXMLDocumentDepthAttacksXMLWellformedness basedParserAttacksJumboPayloadsRecursiveElementsMegaTags akaJumboTagNamesPublicKeyDoSXMLFloodResourceHijackDictionaryAttackMessageTampering DataTemperingMessageSnoopingXPathInjectionSQLinjectionWSDLEnumerationRoutingDetourSchemaPoisoningMaliciousMorphingMaliciousInclude alsocalledXMLExternalEntity XXE AttackMemorySpaceBreachXMLEncapsulationXMLVirusFalsifiedMessageReplayAttack 确保数据的合法性 对数据的过滤能力以及对数据的攻击进行有效防护的能力 如基于XML的攻击等确保数据的机密性 传输数据的加密与解密的能力 以及数据传输通道安全性如SSL等确保数据的完整性 基于数字签名技术的数据签名及验证的能力确保访问的合法性 访问者身份的认证与授权的能力Web应用防火墙 也是反向代理服务器 能抵御多种常见的针对Web应用恶意攻击如防御跨站点脚本攻击 SQL注入和PublicKeyDoS等病毒扫描能力服务级别的管理 能够对客户访问进行统计分析 针对不同的客户访问状况 或者后端服务的超时出错进行统计分析 作出相应的响应 如 对于拒绝对某个服务的异常的高频率访问 对异常状况向管理员进行告警等 WebSphereDataPower安全网关 DataPower 服务安全网关 作为WebService安全网关和集成网关 DataPower部署在WebService服务器的前端 提供自动的XML威胁的保护 基于WS Security LDAP AD SPNEGO的身份认证 基于XACML标准的WebService策略的部署和执行 WebService服务级别的管理 信息的加解密 信息的数字签名和认证以及事务的审计和日志 访问控制基于AAA框架 验证Authenticate 授权Authorize 审计Audit 提取 身份 提取 资源 身份验证 授权 审计和策略 SAML WS Security SSL客户端证书 HTTP基本身份验证 SAML断言 不可抵赖性 监控 WebServiceURI SOAP操作名 传输量 DataPower的AAA框架 SOAP XML 消息 SOAP XML 消息 外部访问控制服务器或 内置策略 映射 身份 映射 资源 硬件安全优势 高可靠性 热插拔的冗余部件 整机VRRP故障切换 RAID1硬盘选项 99 999 高可用性 理论上可9年不停机工作高安全性保证物理入侵检测具备优化的硬件 固件和嵌入式操作系统 不能随意安装其他软件只有以太网和串行端口 无其他的驱动器 USB端口 避免干扰自封闭结构 在企业级最高CCEAL4安全证书的评估 HSM选项 FIPS 140 2Level3安全证书 DataPower 非常安全可靠 它类似一种数据中心产品 但是没有公开额外的端口或按钮 并且没有可移动介质 InfoWorld 除了提供SOA连通性 我们还应该关注 简约 健壮 安全 高效 可管 WebService服务管理服务水平管理 流量控制 WSM 快速配置和安装细粒度的管理基于WSDL的层次结构中的服务 端口 操作等各个级别在达到某个阈值时灵活操作 通知 警告 舒缓 阻止对全部请求和后端服务故障统计使用阈值图形化显示 配置 管理无逢融入现有环境 基于浏览器的可视化操作环境 所有的操作都可以通过WEB界面针对DataPower多设备管理的ITCAM可与第三方IDE集成 Eclipse RationalApplicationDeveloperAltovaXMLSpy网络管理员熟悉的命令行界面CLI支持SNMP集成提供SOAP管理界面 轻松集成到内部管理系统或主打产品通过编程方式访问所有状态和配置管理集成策略 与行业领先的IBM产品和第三方应用程序集成 包括安全产品 身份管理系统和网络基础设施的集成 数据管理组织 XI50 SNMP 其他集成 Iterop Otherintegration interops 命令行接口 ITCAMSEforDataPower Eclipse 第三方IDE SOAP接口 除了提供SOA连通性 我们还应该关注 简约 健壮 安全 高效 可管 DataPower处理的性能性能比软件实现提升10 50倍 XML处理加速SSL加速加解密 数字签名运算加速数据格式转换加速最大支持25 000TPS WebSphereDataPower集群智能负载均衡 支持平行扩充能力 支持对多后台应用提供带权重的负载均衡能力 自动隔离后端不可用服务 高可用 支持VRRP故障切换 支持主热备HA 除了提供SOA连通性 我们还应该关注 简约 健壮 安全 高效 可管 使用基于Web的图形化界面配置拖拽方式的图形化流程编排支持复杂的策略配置无须编程 错误最少所有功能对CLI SOAP接口有效 配置方式vs 编写程序 逐个更新应用服务器 应用SOA设备之前 无需修改应用代码 应用程序可轻松实现安全性 路由 转换 无需修改代码 实现路由 转换并保护多个应用程序降低成本和复杂性无与伦比的性能实现新业务支持集中的策略管理和执行 简化部署和集中化管理的关键特性 访问控制更新 修改采购订单模式 转换 新的XML标准 路由 安全处理 Web服务管理 应用SOA设备之后 DataPower 开发实施简单 节省成本 降低风险 中间件软件成本 开发和管理成本 硬件设备成本 传统方式 多个产品堆积 成本高 周期长 DataPower 单一设备 成本低 快速上线 风险低效率高 接口维护成本 配置和维护服务 设备采购成本 系统开发和维护费用其他相关费用 应用服务器软件安全软件应用软件操作系统 网络设备 服务器硬件 省90 的总体成本 IdentityMgmtSystem Tivoli LDAP etc DataPowerXMLSecurityGatewayXS40 典型部署场景 安全网关 ESB 1 ExternalPartymakesWebServicerequest WebServices HTTPwithXMLPayload 8 TransformXML9 Switchprotocol e g HTTPtoMQ 10 Routebasedoncontent WebServicesInterfaces Payment Interfaces Protocols HTTP MQ JMS DB FTP AccountAggregation Invoice Payment BrokerPortal CustomerPortal ExternalSystems differentdivision partners etc 14 Sendtosecuritylayer13 Transformresponse12 Switchprotocol11 Aggregateresponse 17 Sendresponseback16 Encrypt Sign15 Filterresponse 6 Insertsecuritytoken e g SAML Kerberos 7 Sendrequesttointegrationlayer DataPowerIntegrationApplianceXI50 2 VerifySignature3 Decrypt Validate4 AccessIdentityMgmtSystem5 Authenticate authorize RequestMessage ResponseMessage Payment other MQ JMS FTP HTTP etc SecurityLayer IntegrationLayer HTTP 部署场景 更先进的连通整合方案 包过滤防火墙 内部用户 XS40 包过滤防火墙 停火区DMZ Internetuser Internet 停火区DMZ 包过滤防火墙 包过滤防火墙 支持SOAP的企业应用 SOA平台 遗留企业应用 内联网 互联网 联邦外部 XS40 XS40 1 有利于防止进向的攻击 进向的访问控制 3 内部安全 2 出向访问控制 注入SAML 角色映射 XI50 5 遗留应用转换 XI50 4 Web服务管理 集成利器XI50企业服务硬总线ESB硬件级的任意格式转换速度多种协议的桥接集成的消息级安全保障 安全网关XS40增强的安全能力集中的策略处置精细化的授权丰富的验证和认证 WebSphereDataPower产品家族 屡获殊荣 NEWSCLIP DataPower provideshugeperformancegainsoversoftware 72XFaster 低延迟利器XM70高容量 低延迟报文处理加强的服务品质管理和效率简便 配置驱动的LLM解决方案发布 订阅消息处理机制高可靠性 B2B利器XB60B2B报文 AS2 AS3 处理交易伙伴档案管理B2B交易明细查阅无可比拟的处理效率方便的管理和配置 选择DataPower的成功客户 24 McGraw Hill的子公司 中华人民共和国公安部认证 DataPower独特优势 总结 软硬件功能集成带来的高性价比通过硬件技术全面提升处理性能内置完善的基于标准实现的应用安全功能提供基于标准实现的企业服务总线能力提供高可靠和高级别的安全保障认证硬件简化部署 开箱即用和快速上线 当今市场内最独特的ESB产品同时 还是一款独特的应用安全网关产品