WebSphere Application Server V7、V8 和 V8.5 中的高級安全性加強9

如果給定的服務不是必需的，則可以禁用其監聽的端口。查看此列表，可以考慮禁用的端口包括：

    SAS_SSL_SERVERAUTH_LISTENER_ADDRESS：用於與 WebSphere Application Server V4 和更早版本進行兼容。這是舊的 IIOP 安全性協議。從 V5 開始，CSIv2 替代它了。

    SIB_ENDPOINT_*：供內置的消息傳遞引擎使用。如果沒有使用消息傳遞，則不需要使用它們。

    SIB_MQ_*：供消息傳遞引擎與 WebSphere MQ 連接時使用。

    SIP_*：這些端口供 SIP 容器使用。

    WC_adminhost*：用於管理性 Web 瀏覽器訪問。如果應用服務器沒有部署管理器，則應該確保已經禁用了這些端口。遺憾的是，即使服務器上沒有管理應用程序，大多數應用服務器 Web 容器仍然要監聽兩個管理端口。這是因為服務器通常是基於 server1 模板創建的，這個模板包含這些端口。應該在所有應用服務器上禁用或刪除這些端口。

    WC_defaulthost*：默認的 Web 容器監聽端口。如果已經添加了自定義的監聽端口，那麼有可能不需要這些端口。

不同的端口需要使用不同的技術來禁用，這取決於它們的實現方式：

    可以通過在全局安全性面板中選擇 CSI 作為活動協議，將 SAS_SSL_SERVERAUTH_LISTENER_ADDRESS 從服務中除去。在 V7 中，默認情況下會禁用 SAS，但是仍然監聽這個端口。

    WC_* 端口都是用於 Web 容器的。最好在 Web 容器傳輸鏈配置面板 (Application servers > servername > Web container > transport chain) 中刪除、修改或禁用它們。只需要監聽應用程序使用的那些 Web 端口。

    除非啟用了消息傳遞引擎，否則不會啟動 SIB_* 端口，所以不需要對它們採取措施。

    除非啟動了 SIP 應用程序，否則不會啟動 SIP_* 端口，所以不需要對它們採取措施。

警告：在決定要禁用哪些端口時以及在實際禁用它們時，應該特別謹慎。否則，可能無意間禁用管理端口，這樣做會禁用管理進程的機制，導致無法刪除和重新創建進程（例如服務器）定義。

38. 考慮禁用密碼緩存

在執行基於密碼的身份驗證時，運行時會以單向散列的形式緩存密碼，供以後檢驗時使用。因為這個散列是不可逆的，所以密碼沒有被截獲（甚至包括通過內存轉儲截獲）的危險，但是這個緩存對安全性有影響。如果以後到達的請求要求身份驗證，而且這些請求使用了相同的用戶 ID 和密碼組合，則會使用緩存的密碼數據（和用戶信息）。這意味着，即使註冊表中的用戶密碼更改了，他仍然能夠使用舊的密碼通過身份驗證，直到緩存到期為止（默認情況下是 10 分鐘）。

一些人認為這是一個安全漏洞（作者並不認同）。如果您擔心這個問題，可以通過設置 JVM 級屬性 com.ibm.websphere.security.util.authCacheEnabled = BasicAuthDisabled 禁用密碼緩存。進行這樣的設置之後，就不再緩存密碼，對於所有密碼身份驗證，都要查詢註冊表。請記住，這對性能有明顯的消極影響。如果使用每個請求都要求身份驗證的無狀態協議（比如使用 UserNameTokens 的 WS-security），這會產生很大的註冊表身份驗證通信流。

39. 考慮啟用 FIPS、SP800-131 或 Suite B 遵從性

在執行加密時，有多種密碼學算法可供選擇。另外，在建立 SSL 連接時，實際上有三個選擇：SSL V2（在默認情況下禁用）、SSL V3 和 TLS。美國政府已經定義了與計算機安全性有關的標準 (Federal Information Processing Standards)，該標準涵蓋許多領域。這個標準稱為 FIPS 140-2。在這些標準中，認證了符合 FIPS 標準的密碼技術，還認證了 TLS（但是沒有認證 SSL V3）。

美國國家標準和技術研究所 (NIST) 定義了一個新標準 SP800-131 來取代當前的 FIPS 140-2。類似地，國家安全局 (NSA) 也開發了一個名為 Suite B 的新標準。這些新標準進一步限制了使用的密碼選擇並要求使用 TLS 1.2；而 FIPS 140-2 禁止使用 SSL V3，SP800-131 禁止使用 TLS 1.0 和 TLS 1.1。

如果用戶希望將應用程序限制為只使用符合 FIPS 140-2 的密碼技術和 TLS，那麼可以手工配置每個端點，也可以使用管理工具啟用 FIPS 遵從性。啟用 FIPS 之後，就只能使用 符合 FIPS 的密碼技術。

WebSphere Application Server V8.5（以及修復包 8.0.0.3 和 7.0.0.23）引入了對 SP800-131 和 NSA Suite B 的遵從性。類似於 FIPS 遵從性，可以轉換整個計算單元，以遵從 SP800-131 和 Suite B。啟用之後，只有支持 SP800-131 的客戶端能夠連接到該計算單元。目前，支持 SP800-131 和 TLS 1.2 的客戶端應用程序很少。向此標準的遷移可能很耗時且需要規劃。

結束語

這篇分兩部分的文章的第 1 部分討論了安全性的幾個方面，主要關注加強 WebSphere Application Server 環境的核心方案。希望這些信息能夠向您提供切實保護 Java EE 環境所需的基礎知識。

第 2 部分 將討論更廣泛的主題，包括基於應用程序的預防措施、計算單元信任、跨計算單元信任、管理和應用程序隔離、身份傳播、桌面開發安全性等等。

如果希望進一步了解 WebSphere Application Server 安全性，請聯繫 IBM Software Services for WebSphere，參加關於 WebSphere Application Server 安全性的自定義的現場課程。這個課程將深入講解安全性加強、自定義身份驗證、集成、單點登錄和其他各種相關主題。

致謝

以下文章點擊率最高