Oracle电子商务套件移动和Web服务安全性说明-从URL防火墙开始

这是博客系列中的第六篇文章,总结了新的Oracle电子商务套件 12.2移动和Web服务功能以及保护它们的建议。

Oracle 12.2如何保护Web服务?首先,Oracle电子商务套件的“前门”是它的Web服务器,它是在版本12.2中安装的WebLogic服务器中部署的Apache服务器。要保护Apache Web服务器,很大程度上需要在Apache配置文件(httpd.conf)中设置各种配置。对于Oracle电子商务套件,这些关键设置由Oracle通过AutoConfig实用程序维护。 

URL防火墙

对于面向Internet的客户端,最重要的设置是对Oracle电子商务套件的URL防火墙的包含。当URL防火墙包含在httpd.conf中时,对于表单和Web服务,每个Web请求都将通过URL防火墙传递。当Oracle电子商务套件部署在Internet上时,URL防火墙是非强制性和强制性要求。

URL防火墙包含HTTPD.CONF

URL防火墙是Oracle维护的模板,该模板将Oracle Corporation加固后可在Internet上使用的那些表单(例如JSP页面)列入白名单。如果在文件url_fw.conf中未将JSP列入“白名单”,则不应在Internet上使用它。当Oracle定期更新模板时,请确保使用最新版本的模板。

在模板中,Oracle注释掉了所有有效的行 “否认所有人。” 要使用url_fw.conf,每个客户端站点上的DBA需要手动取消注释(“打开”)适合其站点的特定JSP页面。 DBA的“开放”必须仔细进行并定期检查。

何时调用url_fw.conf的机制由节点的信任级别决定。大多数大型Oracle电子商务套件实现都有多个Web服务器(称为节点)。为了在Internet上部署Oracle电子商务套件,在DMZ中部署了一个或多个节点。如果发出Apache Web服务器请求的节点标记为“内部” Web节点,则将跳过url_fw.conf。但是,如果由于节点已部署在DMZ中而将节点的信任级别标记为“外部”,则将调用url_fw.conf。

当被调用时,url_fw.conf将正则表达式应用于Web请求,以确定该请求是否同时存在于白名单中,并且是否已被DBA取消注释。如果找不到匹配项,则返回默认拒绝结果。用安全术语来说,这意味着除非明确允许,否则所有请求都将被拒绝。如果找到匹配项,则Web请求将继续,然后WebLogic Server将继续执行身份验证和授权任务。

URL固件行示例未注释

启用和配置URL防火墙是保护Web服务的第一步。不幸的是,Oracle在DMZ配置指南的附录E中隐藏了URL防火墙的文档–有关该文档的更多信息,请参见本文的参考部分。

为了保护Web服务,它变得更加复杂,因为第二个白名单被附加到第一个白名单。为了保护Oracle电子商务套件 Web服务的安全,url_fw.conf调用url_fw_ws.conf。与url_fw.conf的配置类似,该文档深埋在DMZ配置指南的附录E中。

与作为静态JSP页面列表提供的url_fw.conf不同,运行实用程序(txkGenWebServiceUrlFwConf.pl)来生成文件url_fw_ws.conf。生成后,DBA同样需要手动取消对正在使用的Web服务的那些行的注释。如果未将Web服务列入白名单,则将应用默认拒绝规则;否则,将使用默认拒绝规则。所有注释掉的Web服务将被拒绝。

URL固件WS.conf示例

选择节点的信任级别并配置url_fw.conf和/或url_fw_ws.conf时出错,将对安全造成严重影响,应将其作为正在进行的安全审核的一部分,进行例行检查。

无需使用URL防火墙即可公开部署Web服务。例如,客户端可以选择是否将Internet通信量直接路由到E-Business Suite,而无需设置外部节点。 整合学 Corporation强烈建议您不要这样做。 整合学 Corporation强烈建议在Internet和Web服务上部署Internet时始终使用URL防火墙。

节点信任级别调用的URL防火墙

httpd.conf调用URL防火墙

如有任何疑问,请通过以下方式与我们联系 [email protected]

-Michael Miller,CISSP-ISSMP,CCSP,CCSK

 
 
 
 
 

 Share this post