(XML) 威胁无处不在……

核心提示： IBM 兼并了一家名为 DataPower® 的公司，它提供了这样的产品并可以保护免受这些类型的威胁，(XML) 威胁无处不在……(5)，这些产品都是硬件设备，它们在出厂前经过各种方式的彻底加强， 需要进行自我保护，因为威胁无处不在，例如，它们并不包含真正的操作系统或者硬盘

IBM 兼并了一家名为 DataPower® 的公司，它提供了这样的产品并可以保护免受这些类型的威胁。这些产品都是硬件设备，它们在出厂前经过各种方式的彻底加强，例如，它们并不包含真正的操作系统或者硬盘。

主要的 DataPower 前端配置对象（多协议网关、XML 防火墙、应用程序防火墙和 Web 服务代理）都包含对 XML 威胁的配置页，可以用来保护免受前面列举的特定类型的威胁。事实上，根本无需配置，DataPower 就能够对其中的一些威胁进行保护，如图 1 所示。

图 1. 威胁保护配置

XML 威胁配置页的另一个部分，针对单消息攻击类型，提供了限制消息、附件、节点大小、属性数目以及元素深度的能力，前面我们已经讨论了在单消息攻击中所使用的这些内容。

该页面中的第三个部分，针对多消息攻击，提供了定义特定间隔大小的特别有用的能力，在这个间隔期间只允许一定数量的请求（如果您希望这样），它可以针对特定的 IP 地址或子网。

最后，XML 威胁窗格还可以预防不需要的协议（或者防止某些较低的版本的协议到达承载 Web 服务的服务器），以及针对 XML 病毒提供保护，通过移除或限制消息中所能够包含的附件来实现。同时还提供了可用的出口，这样就可以使用外部病毒扫描程序来对病毒进行扫描。保护免受更复杂的攻击（如 SQL 注入和字典攻击）需要更多自定义的配置，如用户自定义字典所允许的语法。XML 威胁保护只是这些令人惊讶的设备所能完成的任务中的一小部分。

结束语

要真正地加强使用 Web 服务的系统，您需要执行几个重要的安全步骤（Gartner 和其他人所推荐的），具体包括：

检查消息是否良构。

验证模式。

验证数字签名。

对消息进行签名。

通过 XML 转换和路由实现服务虚拟化以屏蔽内部资源。

在现场级别对数据进行加密。

还需要使用前面介绍的针对不同攻击类型的其他监视类型以及配置来确保与服务级协议的兼容性。可以由网关设备（如 DataPower）在前端执行这些密集的操作，这样可以显著地节省后端资源的消耗和配置。承载 Web 服务的系统，特别是面向公共 Internet 的系统，应该认真地考虑使用加强的网关设备作为 XML 防火墙以保护您的系统免受 XML 威胁。

需要进行自我保护，因为威胁无处不在，并且它们会给您带来危害。