1、不断创新发展的SOA利器 WebSphere DataPower,田伟 IBM软件高级信息工程师 ,今天, IBM SOA正在推动信息技术革命!,简化IT结构,减少了接口数量,降低了维护成本 松耦合,增加了系统的灵活性和扩展能力 采用开放标准,方便、快速应对未来变化; 统一架构支持不同业务需求,资产重用,保护投资。,结构复杂,接口繁多,维护成本增加迅猛 紧密集成,自定义代码多,系统僵化,常被技术封锁。 对开发人员依赖很大, 可扩展能力脆弱。 重复建设、重复投资现象严重。,传统项目方式,IBM SOA新方式,现有应用,新应用,n*(n-1),n,企业服务总线(ESB)是一个整合SOA应用和服务的
2、灵活、可扩展、互连的基础架构,一个企业服务总线可以解决服务提供者和服务请求者之间的,协议转换 在不同的传输协议之间进行转换,适配和路由(基于内容的动态路由) 在不同的服务之间进行通信,报文格式转换 不同的数据格式,识别和分发 业务事件,DataPower提供了一个安全、高效、简单和可管控的ESB解决方案。,除了提供SOA连通性,我们还应该关注,简约,安全,高效,可管,WebSphere DataPower 安全网关,XML 攻击方式,XML Entity Expansion and Recursion Attacks XML Document Size Attacks XML Document
3、 Width Attacks XML Document Depth Attacks XML Wellformedness-based Parser Attacks Jumbo Payloads Recursive Elements MegaTags aka Jumbo Tag Names Public Key DoS XML Flood Resource Hijack Dictionary Attack Message Tampering,Data Tempering Message Snooping XPath Injection SQL injection WSDL Enumeration
4、 Routing Detour Schema Poisoning Malicious Morphing Malicious Include also called XML External Entity (XXE) Attack Memory Space Breach XML Encapsulation XML Virus Falsified Message Replay Attack,确保数据的合法性:对数据的过滤能力以及对数据的攻击进行有效防护的能力,如基于XML的攻击等 确保数据的机密性:传输数据的加密与解密的能力,以及数据传输通道安全性如SSL等 确保数据的完整性:基于数字签名技术的数
5、据签名及验证的能力 确保访问的合法性:访问者身份的认证与授权的能力 Web应用防火墙:也是反向代理服务器,能抵御多种常见的针对Web应用恶意攻击如防御跨站点脚本攻击、SQL 注入和Public Key DoS等病毒扫描能力 服务级别的管理:能够对客户访问进行统计分析,针对不同的客户访问状况,或者后端服务的超时出错进行统计分析,作出相应的响应(如:对于拒绝对某个服务的异常的高频率访问,对异常状况向管理员进行告警等),WebSphere DataPower 安全网关,DataPower服务安全网关,作为Web Service 安全网关和集成网关, DataPower 部署在Web Service
6、服务器的前端,提供自动的XML 威胁的保护, 基于WS-Security,LDAP(AD),SPNEGO的身份认证,基于XACML 标准的Web Service 策略的部署和执行,Web Service 服务级别的管理,信息的加解密,信息的数字签名和认证 以及事务的审计和日志。,访问控制 基于AAA 框架 验证 Authenticate,授权 Authorize, 审计Audit,提取,身份,提取,资源,身份验证,授权,审计和策略,SAML,WS-Security,SSL 客户端证书,HTTP 基本身份验证,-,SAML 断言,不可抵赖性,监控,Web Service URI,SOAP 操作名
7、,传输量,DataPower的AAA 框架,SOAP,/,XML,消息,SOAP,/,XML,消息,外部访问控制服务器或,-,内置策略,映射,身份,映射,资源,硬件安全优势,高可靠性(热插拔的冗余部件, 整机VRRP故障切换, RAID 1 硬盘选项) 99.999%高可用性,理论上可9年不停机工作高安全性保证 物理入侵检测 具备优化的硬件,固件和嵌入式操作系统, 不能随意安装其他软件 只有以太网和串行端口,无其他的驱动器/USB端口,避免干扰 自封闭结构(在企业级最高CC EAL4安全证书的评估) HSM 选项 (FIPS-140-2 Level 3安全证书),“DataPower非常安全可
8、靠 . 它类似一种数据中心产品,但是没有公开额外的端口或按钮,并且没有可移动介质。”- InfoWorld,除了提供SOA连通性,我们还应该关注,简约,健壮-安全,高效,可管,Web Service 服务管理 服务水平管理流量控制,WSM,快速配置和安装 细粒度的管理基于WSDL的层次结构中的服务、端口、操作等各个级别 在达到某个阈值时灵活操作:通知/警告、舒缓、阻止 对全部请求和后端服务故障统计使用阈值 图形化显示,配置 & 管理 无逢融入现有环境,基于 浏览器的可视化操作环境: 所有的操作都可以通过WEB界面 针对 DataPower 多设备管理的 ITCAM 可与第三方IDE 集成: E
9、clipse/Rational Application Developer Altova XML Spy 网络管理员熟悉的 命令行界面CLI 支持SNMP集成 提供SOAP 管理界面: 轻松集成到内部管理系统或主打产品 通过编程方式访问所有状态和配置 管理集成策略: 与行业领先的 IBM 产品和第三方应用程序集成,包括安全产品、身份管理系统和网络基础设施的集成,数据 管理组织,XI50,SNMP,其他集成 /Iterop,Other integration& interops,命令行接口,ITCAM SE for DataPower,Eclipse,第三方 IDE,SOAP 接口,除了提供SO
10、A连通性,我们还应该关注,简约,健壮-安全,高效,可管,DataPower处理的性能 性能比软件实现提升1050倍,XML处理加速SSL加速加解密、数字签名运算加速数据格式转换加速最大支持25,000 TPS,WebSphere DataPower集群 智能负载均衡- 支持平行扩充能力,支持对多后台应用提供带权重的负载均衡能力,自动隔离后端不可用服务。 高可用- 支持VRRP故障切换,支持主热备HA。,除了提供SOA连通性,我们还应该关注,简约,健壮-安全,高效,可管,使用基于Web的图形化界面配置 拖拽方式的图形化流程编排 支持复杂的策略配置 无须编程,错误最少 所有功能对 CLI & SO
11、AP 接口有效,配置方式vs.编写程序,逐个更新应用服务器,应用 SOA 设备之前,无需修改应用代码,应用程序可轻松实现安全性、路由、转换,无需修改代码,实现路由、转换并保护多个应用程序 降低成本和复杂性 无与伦比的性能实现新业务 支持集中的策略管理和执行,简化部署和集中化管理的关键特性,访问控制更新,修改采购订单模式,转换,新的 XML 标准,路由,安全处理,Web 服务管理,应用 SOA 设备之后,DataPower: 开发实施简单,节省成本,降低风险,中间件软件成本,开发和管理成本,硬件设备成本,传统方式: 多个产品堆积,成本高,周期长,DataPower: 单一设备,成本低,快速上线,
12、风险低效率高,接口维护成本,配置和维护服务,设备采购成本,系统开发和维护费用其他相关费用,应用服务器软件 安全软件 应用软件 操作系统,网络设备,服务器硬件,省 90%的总体成本,Identity Mgmt System (Tivoli, LDAP, etc),DataPower XML Security Gateway XS40,典型部署场景 安全网关 + ESB,1. External Party makes Web Service request(Web Services = HTTP with XML Payload),8. Transform XML 9. Switch protoc
13、ol (e.g. HTTP to MQ) 10. Route based on content,Web Services Interfaces,Payment,Interfaces/Protocols,HTTP,MQ,JMS,DB,FTP,Account Aggregation,Invoice/ Payment,Broker Portal,Customer Portal,External Systems: different division, partners, etc,14. Send to security layer 13. Transform response 12. Switch
14、protocol 11. Aggregate response,17. Send response back 16. Encrypt & Sign 15. Filter response,6. Insert security token (e.g. SAML, Kerberos) 7. Send request to integration layer,DataPower Integration Appliance XI50,2. Verify Signature 3. Decrypt & Validate 4. Access Identity Mgmt System 5. Authentic
15、ate & authorize,Request Message,Response Message,Payment,other,MQ, JMS, FTP, HTTP, etc.,Security Layer,Integration Layer,HTTP,部署场景,更先进的连通整合方案,包过滤防火墙,内部用户,XS40,包过滤防火墙,停火区 DMZ,Internet user,Internet,停火区 DMZ,包过滤防火墙,包过滤防火墙,支持SOAP 的企业应用,SOA 平台,遗留企业应用,内联网,互联网,联邦外部,XS40,XS40,1 。有利于防止进向的攻击;进向的访问控制,3. 内部安全,2
16、 。出向访问控制, 注入SAML,角色映射,XI50,5. 遗留应用转换,XI50,4. Web服务管理,集成利器 XI50 企业服务硬总线 ESB 硬件级的任意格式转换速度 多种协议 的桥接 集成的消息级安全保障,安全网关 XS40 增强的安全能力 集中的策略处置 精细化的授权 丰富的验证和认证,WebSphere DataPower产品家族,屡获殊荣!,NEWS CLIP “DataPower. provides huge performance gains over software”72X Faster!,低延迟利器 XM70 高容量, 低延迟报文处理 加强的服务品质管理和效率 简便、
17、配置驱动的LLM解决方案 发布/订阅消息处理机制 高可靠性,B2B 利器 XB60 B2B 报文 (AS2/AS3)处理 交易伙伴档案管理 B2B 交易明细查阅 无可比拟的处理效率 方便的管理和配置,选择 DataPower的成功客户,24,McGraw-Hill 的子公司,中华人民共和国公安部认证,DataPower独特优势-总结,软硬件功能集成带来的高性价比 通过硬件技术全面提升处理性能 内置完善的基于标准实现的应用安全功能 提供基于标准实现的企业服务总线能力 提供高可靠和高级别的安全保障认证硬件 简化部署、开箱即用和快速上线,当今市场内最独特的ESB产品 同时,还是一款独特的应用安全网关产品,
