WebLogic的安全配置
WebLogic是一套基于JAVA功能强大的电子商务套件,提供了许多功能强大的中间件以方便编程人员编写的JSP,servlet等应用,在公司SG186一体化平台中Weblogic有着广泛的应用。
针对WebLogic服务器所面临的安全挑战日益严峻,本文结合最新的网络技术,详细阐述了在WebLogic中运用J2EE安全技术加强保护服务器资源的方法与实践。相信会对各单位的网络安全工作有重要的参考价值。
WebLogic服务器支持使用J2EE安全技术保护URL,Enterprise JavaBeans(EJBs)和有关组件。而且WebLogic服务器在URL与EJB组件的配置符方面扩展了更多的连接模式安全策略。 连接定义使用安全许可Security-permission标签为配um提供额外的安全策略。 例如以下程序段:
secunty-permission
description Optiona lexplanation goes here description
security-permission-spec
grant{
permission java.SocketPermission,resolve;
};
secunty-permission-spec
security-permission
除了在l文件中支持安全许可标签,WebLogic服务器还支持lqiushi及l文件,这样一来将连接模式扩展至另两种应用类型,提供了所有组件类型可共用的安全策略,并为未来J2EE有关定义的修订做了准备。
对运行于 Java Virtual Machine(JVM)的资源,可在WebLogic服务器中运用Java安全管理器提供更多的保护。
在运行于pnasJava2(SDKI.2及以上版本)时,WebLogic服务器可运用Java2安全管理器防止程序运行(经Java2安全策略认定的)可疑代码。
通过Java 安全策略文件,JVM依靠内嵌的安全处理机制允许用户定义限制可疑代码的条件,Java安全管理器则对赋予类的安全许可进行增强,这些安全许可决定了运行于JVM例程中的特定类是否允许或拒绝特定的运行操作符。当具有威胁可能性的JVM运行模式中不包含恶意代码时,Java安全管理器会不动声,然而,当不可信任的第三方程序或组件开始使用WebLogic服务器资源并有不可信任的类开始运行时,Java安全管理器将会起到安全保护作用。
许渊冲
可通过java.security.manager设定JVM使用Java安全策略文件。而且java.security.policy设定JVM使用Java安全策略文件的系统目录。
例如以下程序段:
java-Djavasecurity.manager Djava.security.policy==cweblogicweblogic.policy
注意在此程序段中正确使用“==”符号,这意味若优先级,其他安全文件被置后,只有weblo
gic.policy文件被Java安全管理器使用。若误写为“=”则导致weblogic.policy文件被追加到某个现存的安全策略文件末尾。
还可设置应用类型安全策略。
在Java安全策略文件中,Serviets,EJBs及J2EE Resource Adapters的默认安全策略被定义于以下代码段落中:
Servlets—file weblogic applicationdefaultsWeb
EJBs—fileweblogicapplicationdefaultsEJB
Resource Adapters—fileweblogicapplicationdefaulLsConnector
特定应用的安全策略通过对配置符增加安全定义来实现,相应的文件如下:
Servlets—l
E]Bs—weblogic.ejb.jar. xml
Resource Adapters—l
以下程序段是对配置符增加安全策略的例子:
security-permission
description
Allow getting the J2EEJ2SE Test4 property上海人民电机厂
description
品质因数q
secunty-permission-spec
grant{
permission java.util.PropertyPermission “welcome.J2EEI2SETest4”, “read”;
};
secunty-permission-spec
security-permission
对于容器则使用Java授权协议来提高安全性。Java授权协议即Java Authorization Contract for Containers(JACC)是一种基于标准的方法,用于将外部安全管理器与应用服务器集成。JACC提供了将安全授权的权限检查委托给外部提供程序的功能。由于授权检查是在容器将控制权交给应用程序前进行的,因此 JACC具有能够清楚区分自定义授权逻辑和应用程序逻辑的优势,从而满足了关注点分离的需求。 WebLogic服务器可以执行高压电源设计JSR—115标准的JACC提供者,以增加安全性能。使JACC提供者为WebLogic进行安全运作,必须定义以下系统属性值:
属性I:java.security.policy
值为一个有效的weblogicpolicy文件.可以使用相对或绝对路径。
属性2:javax.security.jacc.PolicyConfigumtionFactor
值weblogic.security jack.PolicyConfigumtionFactoryImpl
属性3:javax.security.jacc.PolicyConfigumtionFactory
值weblogic.security .jacc.PolicyConfigurationFactoryImpl
属性4:javax.security.jacc.policy.provider
值weblogic.security.jacc.simpleprovider.SimpleJACCPolcy
属性5:weblogic.security.jacc.RoleMapperFactory.provider
值weblogic.security.jacc.simpleprovider.RoleMapperFactorylmpl
程序例子如下:
#.startWebLog ic. sh-Djava.secruity.manager
-Djava.security.policy=pathnameweblogic.policy
-Djavax.security.jacc.policy.provider=Weblogic.security.jacc.simpleprovider.SimpleJACCPolicy
-Djavax.security.jacc.PolicyConfigurationFactory.provider=weblogic.security.jacc.simpleprovider.PolicyConfigurationFactorylmp
-Dweblogic.security.jacc.RoleMapperFactory.provider=weblogic.security.jacc.simpleprovider.RoleMapperFactorytmpl
以上方法大大提高了weblogic服务器的安全性能。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议