WebSphere Application Server V7 高级安全性加强，第 1 部分：安全性加强概述和方法（下）

核心提示：14. 考虑对 Web 服务器到 WebSphere Application Server 的 HTTP 链路进行身份验证 WebSphere Application Server Web 服务器插件将来自 Web 服务器的请求转发到目标应用服务器，在默认情况下，WebSphere Application Server

14. 考虑对 Web 服务器到 WebSphere Application Server 的 HTTP 链路进行身份验证

WebSphere Application Server Web 服务器插件将来自 Web 服务器的请求转发到目标应用服务器。在默认情况下，如果到 Web 服务器的通信是通过 HTTPS 完成的，则插件在将请求转发到应用服务器时会自动地使用 HTTPS，从而保护其机密性。

另外，更谨慎的做法是将应用服务器（它包含一个小的嵌入式 HTTP 监听器）配置为只接受来自已知 Web 服务器的请求。这可以防止各种绕过 Web 服务器前或 Web 服务器中的任何安全性检查的暗中攻击，创建一个可信的网络路径。这种情况看似不太可能出现，但确实存在这种可能性。无法一一列举所有场景，下面是一些例子：

有一个身份验证代理服务器，它仅仅将用户 ID 作为 HTTP 头发送出去，而不发送任何身份验证信息。可以直接访问 Web 容器的入侵者只需要提供这一相同的头，就可以成为任何人。（IBM Tivoli Access Manager WebSEAL 不存在这种漏洞。）

有一个代理服务器，它执行重要的授权，以很粗的粒度限制谁可以访问什么应用程序。

有一个代理服务器，它执行重要的审计，不希望它被绕过。

像前一小节讨论的一样，使用客户机证书向 Web 服务器验证身份。

要创建从 Web 服务器到应用服务器的可信网络路径，需要配置应用服务器 Web 容器 SSL 配置以使用客户机身份验证。一旦确保了正在使用客户机身份验证，就需要确保只有可信的 Web 服务器才能联系 Web 容器。要实现这一点，必须通过应用 只使用 SSL 限制访问 中介绍的 SSL 技巧来限制具有访问权限的群体。具体地说，需要执行以下操作：