Web-Services: Erste SOAP-Firewall auf dem Markt

Auch wenn OASIS eine Arbeitsgruppe ws-security geschaffen hat, bleibt die Sicherheit das Problem Nummer 1 der Web-Services. Daher hat der Hersteller Reactivity die erste SOAP-Firewall auf dem Markt entwickelt. Die Reactivity Service Firewall (RSF) wird in der DMZ (DeMilitarized Zone) hinter einer klassischen Firewall platziert und überprüft alle ein- und abgehenden SOAP-Nachrichten.

Sie beruht auf den selben Prinzipien wie klassische Firewalls, arbeitet aber auf der Anwendungsschicht (SOAP), während die anderen Produkte auf der niedrigeren Ebene der unteren Übertragungsprotokolle ansetzen (UDP, TCP/IP, HTTP usw.). RSF unterstützt HTTP, JMS, MQSeries, und Tibco RDV bei ein- wie bei abgehenden Nachrichten. Neben ihrer Funktion als Firewall kann sie auch die Nachrichten normalisieren, indem bei eingehenden Nachrichten alle Protokolle akzeptiert und die Anfragen intern nur über HTTP oder JMS geroutet werden.

Eine Ergänzung klassischer Firewalls
Da der meiste Traffic heute über den Port 80 (HTTP) läuft, ist RSF eher eine Ergänzung als eine Konkurrenz für die klassischen Firewalls.

Wenn eine SOAP-Anfrage in der DMZ ankommt, überprüft RSF den Header und den Body der Nachricht, ihre Herkunft und Authentizität, wendet die Zugriffsrechte, die mit dem Absender verknüpft sind, an, validiert den Inhalt der Nachricht, zeichnet sämtliche Informationen auf, normalisiert das Format der Nachricht, soweit nötig, und routet sie schließlich an den Ziel-Webdienst.

Alle diese Aktionen laufen sehr schnell ab – der Hersteller garantiert, dass 200 SOAP-Nachrichten pro Sekunde über HTTP bearbeitet werden können. Reactivity Service Firewall ist für Linux Red Hat 7.2 mit SMP-Unterstützung (Kernel 2.4-18) ab 50.000 Dollar pro Prozessor erhältlich. Eine Solaris-Version wird im Herbst verfügbar sein.