《DataPower中文介绍.ppt》由会员分享,可在线阅读,更多相关《DataPower中文介绍.ppt(26页珍藏版)》请在金锄头文库上搜索。
1、 2010 IBM Corporation不断创新发展的SOA利器WebSphere DataPower田伟IBM软件高级信息工程师2 2010 IBM Corporation今天今天, IBM SOA正在推动信息技术革命正在推动信息技术革命!C/SC/S财务系统财务系统C/SC/S生产系统生产系统B B/S/S: : J2EEJ2EE财务系统财务系统B/SB/S | Lotus | Lotus办公自动化办公自动化B/SB/S | .net | .netERPERPB/SB/S | .net | .net外部应用外部应用NEWNEW新应用新应用B/SB/S升级应用升级应用B/SB/S | J2
2、EE | J2EE财务系统财务系统B/SB/S: J2EE: J2EE财务系统财务系统C/SC/S生产系统生产系统B/SB/S | .net | .netERPERPB/SB/S | Lotus | Lotus办公自动化办公自动化B/SB/S | .net | .net升级应用升级应用人员人员外部应用外部应用NEWNEW新应用新应用简化IT结构,减少了接口数量,降低了维护成本松耦合,增加了系统的灵活性和扩展能力采用开放标准,方便、快速应对未来变化;统一架构支持不同业务需求,资产重用,保护投资。结构复杂,接口繁多,维护成本增加迅猛紧密集成,自定义代码多,系统僵化,常被技术封锁。对开发人员依赖很大
3、, 可扩展能力脆弱。重复建设、重复投资现象严重。传统项目方式IBM SOA新方式现有应用新应用n*(n-1)n3 2010 IBM Corporation企业服务总线(ESB)是一个整合SOA应用和服务的灵活、可扩展、互连的基础架构图形 = 传输协议颜色 = 数据格式一个企业服务总线可以解决服务提一个企业服务总线可以解决服务提供者和服务请求者之间的供者和服务请求者之间的协议转换协议转换 在不同的传输协议之间进行转换适配和路由适配和路由(基于内容的动态路由基于内容的动态路由)在不同的服务之间进行通信报文格式转换报文格式转换不同的数据格式识别和分发识别和分发业务事件企业服务总线企业服务总线企业服务
4、总线企业服务总线ESBESBDataPower提供了一个安全、高效、简单和可管控的ESB解决方案。4 2010 IBM Corporation除了提供SOA连通性,我们还应该关注简约安全高效可管5 2010 IBM CorporationWebSphere DataPower 安全网关6 2010 IBM CorporationXML 攻击方式XML Entity Expansion and Recursion AttacksXML Document Size AttacksXML Document Width AttacksXML Document Depth AttacksXML Well
5、formedness-based Parser AttacksJumbo Payloads Recursive Elements MegaTags aka Jumbo Tag Names Public Key DoS XML FloodResource Hijack Dictionary AttackMessage TamperingData Tempering Message Snooping XPath Injection SQL injectionWSDL EnumerationRouting DetourSchema Poisoning Malicious Morphing Malic
6、ious Include also called XML External Entity (XXE) AttackMemory Space Breach XML EncapsulationXML Virus Falsified Message Replay Attack 7 2010 IBM Corporation确保数据的合法性:对数据的过滤能力以及对数据的攻击进行有效防护的能力,如基于XML的攻击等确保数据的机密性:传输数据的加密与解密的能力,以及数据传输通道安全性如SSL等确保数据的完整性:基于数字签名技术的数据签名及验证的能力确保访问的合法性:访问者身份的认证与授权的能力Web应用防火
7、墙:也是反向代理服务器,能抵御多种常见的针对Web应用恶意攻击如防御跨站点脚本攻击、SQL 注入和Public Key DoS等病毒扫描能力服务级别的管理:能够对客户访问进行统计分析,针对不同的客户访问状况,或者后端服务的超时出错进行统计分析,作出相应的响应(如:对于拒绝对某个服务的异常的高频率访问,对异常状况向管理员进行告警等)WebSphere DataPower 安全网关8 2010 IBM CorporationDataPower服务安全网关 作为Web Service 安全网关和集成网关, DataPower 部署在Web Service 服务器的前端,提供自动的XML 威胁的保护,
8、 基于WS-Security,LDAP(AD),SPNEGO的身份认证,基于XACML 标准的Web Service 策略的部署和执行,Web Service 服务级别的管理,信息的加解密,信息的数字签名和认证 以及事务的审计和日志。9 2010 IBM Corporation访问控制基于AAA 框架 验证 Authenticate,授权 Authorize, 审计Audit提取提取身份身份提取提取 资源资源身份验证身份验证授权授权审计和策略审计和策略SAMLWS-SecuritySSL 客户端证书HTTP 基本身份验证-SAML 断言不可抵赖性监控Web Service URISOAP 操作
9、名传输量DataPower的的AAA 框架框架SOAP /XML消息SOAP /XML消息外部访问控制服务器或外部访问控制服务器或-内置策略内置策略映射映射 身份身份映射映射 资源资源10 2010 IBM Corporation硬件安全优势高可靠性(热插拔的冗余部件, 整机VRRP故障切换, RAID 1 硬盘选项)99.999%高可用性,理论上可9年不停机工作高安全性保证物理入侵检测具备优化的硬件,固件和嵌入式操作系统, 不能随意安装其他软件只有以太网和串行端口,无其他的驱动器/USB端口,避免干扰自封闭结构(在企业级最高CC EAL4安全证书的评估)HSM 选项 (FIPS-140-2
10、Level 3安全证书)“DataPower非常安全可靠 . 它类似一种数据中心产品,但是没有公开额外的端口或按钮,并且没有可移动介质。” - InfoWorld11 2010 IBM Corporation除了提供SOA连通性,我们还应该关注简约健壮-安全高效可管12 2010 IBM CorporationWeb Service 服务管理 服务水平管理流量控制WSM 快速配置和安装快速配置和安装细粒度的管理基于细粒度的管理基于WSDL的层次结构中的服务、端口、操作等各个级别的层次结构中的服务、端口、操作等各个级别在达到某个阈值时灵活操作:通知在达到某个阈值时灵活操作:通知/警告、舒缓、阻止
11、警告、舒缓、阻止对全部请求和后端服务故障统计使用阈值对全部请求和后端服务故障统计使用阈值图形化显示图形化显示13 2010 IBM Corporation配置 & 管理无逢融入现有环境基于基于 浏览器的可视化操作环境:浏览器的可视化操作环境:所有的操作都可以通过WEB界面针对针对 DataPower 多设备管理的多设备管理的 ITCAM 可与第三方可与第三方IDE 集成:集成:Eclipse/Rational Application DeveloperAltova XML Spy网络管理员熟悉的网络管理员熟悉的 命令行界面命令行界面CLI支持支持SNMP集成集成提供提供SOAP 管理界面:管理
12、界面:轻松集成到内部管理系统或主打产品通过编程方式访问所有状态和配置管理集成管理集成策略:策略:与行业领先的 IBM 产品和第三方应用程序集成,包括安全产品、身份管理系统和网络基础设施的集成数据数据管理组织管理组织XI50SNMP其他集成/IteropOther integration & interops命令行接口ITCAM SE for DataPowerEclipse第三方 IDESOAP接口14 2010 IBM Corporation除了提供SOA连通性,我们还应该关注简约健壮-安全高效可管15 2010 IBM CorporationDataPower处理的性能性能比软件实现提升1
13、050倍XML处理加速处理加速SSL加速加速加解密、数字签名运算加速加解密、数字签名运算加速数据格式转换加速数据格式转换加速最大支持最大支持25,000 TPS16 2010 IBM CorporationWebSphere DataPower集群智能负载均衡- 支持平行扩充能力,支持对多后台应用提供带权重的负载均衡能力,自动隔离后端不可用服务。高可用- 支持VRRP故障切换,支持主热备HA。17 2010 IBM Corporation除了提供SOA连通性,我们还应该关注简约健壮-安全高效可管18 2010 IBM Corporation使用基于使用基于Web的图的图形化界面配置形化界面配置
14、拖拽方式的图形化拖拽方式的图形化流程编排流程编排支持复杂的策略配支持复杂的策略配置置无须编程,错误最无须编程,错误最少少 所有功能对所有功能对 CLI & SOAP 接口有效接口有效配置方式vs.编写程序19 2010 IBM Corporation逐个更新应用服务器逐个更新应用服务器应用应用 SOA 设备之前设备之前无需修改应用代码,应用程序可轻无需修改应用代码,应用程序可轻松实现安全性、路由、转换松实现安全性、路由、转换无需修改代码,实现路由、转换并保护多个应用程序无需修改代码,实现路由、转换并保护多个应用程序降低成本和复杂性降低成本和复杂性无与伦比的性能实现新业务无与伦比的性能实现新业务
15、支持集中的策略管理和执行支持集中的策略管理和执行简化部署和集中化管理的关键特性访问控制更新访问控制更新修改采购订单模式修改采购订单模式转换转换新的新的 XML 标准标准路由路由安全处理安全处理Web 服务管理服务管理应用应用 SOA 设备之设备之后后20 2010 IBM CorporationDataPower: 开发实施简单,节省成本,降低风险中间件软件成本开发和管理成本硬件设备成本传统方式传统方式: 多个产品堆积,成本高,周期长DataPower: 单一设备,成本低,快速上线,风险低效率高接口维护成本配置和维护服务配置和维护服务设备采购成本设备采购成本系统开发和维护系统开发和维护费用费用
16、其他相关费用其他相关费用应用服务器软件应用服务器软件安全软件安全软件应用软件应用软件操作系统操作系统网络设备网络设备服务器硬件服务器硬件省省 90%的总体成本的总体成本21 2010 IBM CorporationIdentity Mgmt System (Tivoli, LDAP, etc)DataPower XML Security Gateway XS40典型部署场景典型部署场景 安全网关安全网关 + ESB1. External Party makes Web Service request (Web Services = HTTP with XML Payload)8. Transf
17、orm XML9. Switch protocol (e.g. HTTP to MQ) 10. Route based on contentWeb Services Interfaces FI Owned SystemsExternal SystemsPaymentInterfaces/ProtocolsHTTPMQJMSDBFTPAccountAggregationInvoice/PaymentBroker PortalCustomerPortalExternal Systems: different division, partners, etc14. Send to security l
18、ayer13. Transform response12. Switch protocol11. Aggregate response 17. Send response back16. Encrypt & Sign15. Filter response Protocol switchContent RoutingTransform XMLAuthenticateAuthorizeAuditDecrypt XMLVerify Sign.Validate6. Insert security token (e.g. SAML, Kerberos)7. Send request to integra
19、tion layer Core Enterprise SystemsAccountServicesERPHRCRMCredit CardDataPower Integration Appliance XI502. Verify Signature3. Decrypt & Validate 4. Access Identity Mgmt System5. Authenticate & authorizeRequest MessageResponse MessagePaymentotherMQ, JMS, FTP, HTTP, etc.HTTPSecurity LayerIntegration L
20、ayerHTTP22 2010 IBM Corporation部署场景,更先进的连通整合方案包过滤防火墙内部用户XS40包过滤防火墙停火区停火区DMZInternetuserInternet停火区停火区DMZ包过滤防火墙包过滤防火墙支持SOAP的企业应用SOA 平台遗留企业应用内内联联网网互联网互联网联联邦外部邦外部XS40XS401 。有利于防止进向的攻击有利于防止进向的攻击;进向的访问控制进向的访问控制3. 内部安全内部安全2 。出向访问控制,。出向访问控制, 注入注入SAML,角色映射,角色映射XI505. 遗留应用转换遗留应用转换XI504. Web服务管理服务管理23 2010 IB
21、M Corporation集成利器 XI50 企业服务硬总线 ESB硬件级的任意格式转换速度多种协议 的桥接集成的消息级安全保障安全网关 XS40 增强的安全能力集中的策略处置精细化的授权丰富的验证和认证WebSphere DataPower产品家族,屡获殊荣!NEWS CLIP“DataPower. provides huge performance gains over software” 72X Faster!低延迟利器 XM70 高容量, 低延迟报文处理加强的服务品质管理和效率简便、配置驱动的LLM解决方案发布/订阅消息处理机制高可靠性B2B 利器 XB60 B2B 报文 (AS2/A
22、S3)处理交易伙伴档案管理B2B 交易明细查阅无可比拟的处理效率方便的管理和配置24 2010 IBM Corporation选择 DataPower的成功客户24McGraw-Hill McGraw-Hill 的子公司的子公司的子公司的子公司25 2010 IBM Corporation中华人民共和国公安部认证26 2010 IBM CorporationDataPower独特优势-总结软硬件功能集成带来的高性价比软硬件功能集成带来的高性价比通过硬件技术全面提升处理性能通过硬件技术全面提升处理性能内置完善的基于标准实现的应用安全功能内置完善的基于标准实现的应用安全功能提供基于标准实现的企业服务总线能力提供基于标准实现的企业服务总线能力提供高可靠和高级别的安全保障认证硬件提供高可靠和高级别的安全保障认证硬件简化部署、开箱即用和快速上线简化部署、开箱即用和快速上线当今市场内最独特的当今市场内最独特的ESB产品产品同时,还是一款独特的应用安全网关产品同时,还是一款独特的应用安全网关产品
