Oracle E-Business Suite Mobile和Web服务安全解释 - 从URL防火墙开始

这是博客系列中的第六篇帖子总结了新的Oracle E-Business Suite 12.2 Mobile和Web服务功能和建议来保护它们。

Web服务如何在Oracle 12.2中保障?要在开始时开始,Oracle E-Business Suite的“前门”是其Web服务器,Apache服务器部署在已安装的WebLogic Server中,该服务器已安装为第12.2版本。为了保护Apache Web服务器,主要需要在Apache配置文件(httpd.conf)中设置各种配置。对于Oracle E-Business套件,这些关键设置由Oracle通过AutoConfig实用程序维护。 

URL防火墙

面向Internet客户端的最重要的设置是Oracle E-Business Suite的URL防火墙的包含。当URL防火墙包含在httpd.conf中时,每个Web请求都会通过URL防火墙,用于表单和Web服务。当Oracle E-Business Suite部署在Internet上时,URL防火墙是非自由裁量项和强制性要求。

httpd.conf包含URL防火墙

URL防火墙是由Oracle维护的模板,该模板是Oracle Corporation已硬化在互联网上使用的那些表格(例如JSP页面)。如果JSP未在文件URL_FW.conf中列出“白名单”,则不应在Internet上使用。请务必使用最新版本的模板,因为Oracle定期更新模板。

在模板中,Oracle评论了所有有效的所有线条 “否认所有人。” 要使用URL_FW.conf,每个客户端站点的DBA需要手动取消注释(“打开”)适合于其站点的特定JSP页面。必须仔细完成DBA的“开幕”并经常审查。

调用url_fw.conf时的机制由节点的信任级别确定。大多数大型Oracle E-Business Suite实现具有多个Web服务器(称为节点)。要在Internet上部署Oracle E-Business套件,请在DMZ中部署一个ORE更多节点。如果使Apache Web服务器的请求被标记为“内部”Web节点,则跳过URL_FW.conf。但是,如果节点的信任级别被标记为“外部”,因为节点部署在DMZ中,则调用URL_FW.conf。

当调用时,URL_FW.CONF将正则表达式应用于Web请求,以确定Whitelist中是否存在请求,并由DBA的“打开”取消关注。如果未找到匹配项,则返回默认拒绝结果。在安全术语中,这意味着除非明确允许,否则拒绝所有请求。如果找到匹配,则Web请求继续持续,然后WebLogic Server将继续进行身份验证和授权任务。

URL FW线的示例取消注释

启用和配置URL防火墙是保护Web服务的第一步。不幸的是,Oracle在DMZ配置指南的附录E中掩盖了URL防火墙的文档 - 有关文档的更多信息,请参阅本文的参考部分。

为了保护Web服务,它变得更加复杂,因为第二个白名单附加到第一个白名单。为了保护Oracle E-Business Suite Web服务,URL_FW.conf调用url_fw_ws.conf。类似于URL_FW.CONF的配置,文档在DMZ配置指南的附录E中深入掩盖。

不同于URL_FW.CONF,它被提供为JSP页面的静态列表,运行一个实用程序(txkgenwebserviceurlf.pl)以生成文件url_fw_ws.conf。生成后,DBA同样需要手动取消注释正在使用的Web服务的这些行。如果找不到Web服务才能白名单,则将应用默认拒绝规则;所有的Web服务都会被拒绝。

URL fw ws.conf的示例

在选择节点的信任级别和配置URL_FW.CONF和/或URL_FW_WS.conf时出错具有严重的安全后果,并应常规审查作为持续的安全审核的一部分。

无需使用URL防火墙即可公开部署Web服务。例如,客户端可以在不设置外部节点的情况下直接选择路由互联网流量。积分公司强烈推荐违背这样做。 Entigigy Corporation在部署在Internet上时,始终使用URL防火墙,用于表单和Web服务。

URL防火墙按节点信任级别调用

httpd.conf调用URL防火墙

如果您有任何疑问,请联系我们 [email protected]

-Michael Miller,CISSP-ISSMP,CCSP,CCSK

 
 
 
 
 

 Share this post