应用防火墙——足以保证当前网络服务的安全

核心提示： Westbridge公司出售一种“XML通信网关”，它可以储存特定的安全策略，应用防火墙——足以保证当前网络服务的安全(2)，比如说可以为不同级别的客户或者供应者进行存储，而无需将其硬编码到网络服务中，他提出建议：“如果网络服务和以服务为标准的结构体系可

Westbridge公司出售一种“XML通信网关”，它可以储存特定的安全策略，比如说可以为不同级别的客户或者供应者进行存储，而无需将其硬编码到网络服务中。这使得审计更容易、更便宜，需要的时候可以执行并改变这些策略。

一些经销商也表示，他们正协商将其应用层防火墙与现有的网络防火墙结合起来，提供对数据包和XML文件的单点控制。Ben-Itzhak说：“客户正寻求应用层防火墙和网络防火墙之间、认证产品和负载平衡产品之间的更多结合。”

但是，Champion提到，他的客户，几乎没有一个想要这样的公用设备，理由是他们担心发送网络服务信息流到网络边缘附近，会更容易受到外部攻击的威胁。

Bloomberg说，未来另一个大的挑战是企业身份管理——可以追踪哪个用户访问了组织内部哪些资源的能力，以及了解到何时特定用户请求访问应用程序、数据库或者其它资源的能力。他指出，这在网络服务环境中是非常重要的，对于某个特定用户而言，服务请求可能是无法追踪到的，但仅对于服务器或者应用程序而言，是可以追踪到的。

他指出，为了确保请求是来自一个合法用户，当用户进入网络时，必须要经过认证，不同的系统会产生或者接收网络服务的请求，认证之后在这些系统中必须分配一个令牌，以在其路径上跟踪这一请求。如果公司之间共用网络服务，“由于两家公司拥有独立的身份基础设施，这将是一个更大的挑战。”

两大组织正在为这些联合的身份管理制定标准。本月，BEA Systems公司、IBM、微软、RSA Security公司和VeriSign公司发布了WS-Federation互联网交易安全标准，该标准的设计目的是为了准许不同组织的应用程序所使用的认证与访问控制系统可以共同工作。第二个是“自由联盟计划”（Liberty Alliance Project），该项目是由Sun Microsystems公司以及170多家公司、非赢利性组织和政府组织支持发起的。Bloomberg说：“现在还不是很清楚，我们是否需要一个以上的联合身份标准，或者确切的说是他们将如何共同工作。”

直到那时，诸如Netegrity公司、RSA、Oblix公司、Novell和Sun之类的经销商会将其身份管理工具推向市场。Bloomberg将Netegrity公司称为身份管理界的领袖之一，Netegrity希望用网络服务安全的TransactionMinder，来进一步推动其SiteMinder认证技术和认证工具的成功。TransactionMinder配置了代理器，使用来自Netegrity Policy Server的数据进行身份认证，并确定谁有权访问特定的网络服务，进而对用来调用网络服务的XML文件内容进行扫描和分析。

通过将访问执行点（代理器）从策略服务器上分离，Netegrity的机构体系比它的竞争者更容易在组织内衡量多个点——一个分布式的安全模式，许多分析家认为它比仅对网络中的点进行集中控制要好得多。

Oblix和Westbridge最近宣布了身份管理工具和应用层防火墙的结合，这是各种各样的网络服务安全性能正集中到一个产品中的另一个标志。

Bloomberg说，虽然经销商致力于将更多的性能融合到产品中，以及标准组织全心全意完善其标准，但那些需要网络服务的客户应该开始应用这些标准，并依赖现有的安全工具。他提出建议：“如果网络服务和以服务为标准的结构体系可以满足你现在的需求，不要再犹豫了，因为这些标准还不够成熟。”