utilisations de MQIPT

Il existe un certain nombre d'utilisations potentielles pour IBM® MQ Internet Pass-Thru (MQIPT).

MQIPT peut être utilisé comme concentrateur de canal

En utilisant MQIPT de cette manière, les canaux à destination ou en provenance de plusieurs hôtes distincts peuvent apparaître sur un pare-feu comme s'ils étaient tous à destination ou en provenance de l'hôte MQIPT . Il est ainsi plus facile de définir et de gérer les règles de filtrage des pare-feux.
Figure 1 : Exemple de MQIPT en tant que concentrateur de canal
Cette figure montre les serveurs qui sont acheminés vers un MQIPT du côté intranet d'un pare-feu. MQIPT envoie les messages aux serveurs en dehors du pare-feu.

MQIPT peut être placé dans une zone démilitarisée pour fournir un point d'accès unique

Un pare-feu DMZ (parfois appelé pare-feu "zone démilitarisée") est une configuration de pare-feu destinée à sécuriser les réseaux locaux. Il sert de point d'exposition à un réseau non fiable, généralement l'internet. Si MQIPT est placé dans un pare-feu DMZ, sur un ordinateur dont l'adresse IP est connue et fiable, MQIPT peut être utilisé pour écouter les connexions entrantes du canal IBM MQ, qu'il peut ensuite transmettre à l'intranet fiable ; le pare-feu interne doit permettre à cet ordinateur fiable d'établir des connexions entrantes. Dans cette configuration, MQIPT empêche les demandes d'accès externes de recevoir les véritables adresses IP des ordinateurs dans l'intranet sécurisé. Ainsi, MQIPT fournit un point d'accès unique. Si nécessaire, MQIPT peut être configuré pour accepter les connexions TLS et transmettre les données à la destination à l'aide d'une connexion TLS distincte, ce qui met fin à la session TLS dans la zone démilitarisée.
Figure 2. Exemple de MQIPT dans un pare-feu de zone démilitarisée
Cette figure montre un MQIPT dans une zone démilitarisée qui transmet un message depuis Internet, provenant d'un serveur via un filtre de paquets, via un pare-feu vers un serveur.

MQIPT peuvent communiquer au moyen d'un tunnel HTTP

Si deux instances de MQIPT sont déployées en ligne, elles peuvent communiquer en utilisant HTTP. La fonction de tunnellisation HTTP permet aux demandes d'être transmises via des pare-feux, par l'intermédiaire des proxys HTTP existants. Le premier MQIPT insère le protocole IBM MQ dans HTTP et le second extrait le protocole IBM MQ à partir de son encapsuleur HTTP et le transmet au gestionnaire de files d'attente de destination.
Figure 3 Exemple de tunneling MQIPT et HTTP
Cette figure montre deux instances de MQIPT, une de chaque côté d'un pare-feu, qui transmettent un message d'un serveur sur l'internet, au moyen de HTTP ou SSL/TLS, à un serveur sur un intranet.

MQIPT peut chiffrer les messages

Si MQIPT est configuré comme dans l'exemple précédent, les demandes peuvent être chiffrées avant la transmission via des pare-feu. Le premier MQIPT chiffre les données et le second les déchiffre à l'aide de SSL/TLS avant de les envoyer au gestionnaire de files d'attente de destination.
Figure 4 Exemple de MQIPT et SSL/TLS
Cette figure illustre un client ou un serveur qui envoie un message à un MQIPT qui convertit le message au format SSL/TLS pour l'envoyer à un autre MQIPT via Internet. Le deuxième MQIPT reconvertit le message au format de message avant de l'envoyer à un serveur.