Prise en charge de la passerelle pare-feu

Une passerelle pare-feu fournit des options de connectivité de bout en bout pour des environnements dotés de règles de gestion de connexion TCP/IP spécifiques. La passerelle pare-feu peut négocier plusieurs tronçons de pare-feu et prend en charge la conversion d'adresses réseau. Vous pouvez utiliser une passerelle pare-feu pour configurer le trafic de réseau de façon à ce qu'il se déclenche systématiquement à partir de la zone réseau la plus sûre, lorsque deux composants communicants se trouvent dans des zones avec des niveaux de sécurité différents.

Une passerelle pare-feu peut être la configuration de pare-feu la plus avantageuse si l'une des conditions suivantes s'applique :

• Il est impossible d'étendre une connexion TCP unique entre des composants de produit. Exemple : la communication entre les composants nécessite de croiser plusieurs pare-feu dans un environnement doté d'une règle interdisant à une connexion unique de passer à travers plusieurs pare-feu.
• Les exigences de connexion ne permettent pas que le canevas de connexion par défaut d'accéder au serveur de surveillance concentrateur. Exemple : les agents ne réussissent pas à se connecter à un serveur de surveillance dans une zone ayant un niveau de sécurité supérieur à celui des agents ; la politique de sécurité permet qu'une connexion soit établie à partir d'une zone plus sûre dans une zone moins sûre, mais pas réciproquement.
• Les ports pare-feu ouverts doivent être réduits à un seul port ou à une seule connexion. La passerelle peut consolider les ports en un seul. Exemple : la reprise en ligne d'agent et l'affectation du serveur de surveillance doivent être gérées de manière symbolique du côté serveur de surveillance concentrateur de la connexion. Les connexions passerelle étant établies entre noms de service correspondants, un administrateur peut modifier la reprise en ligne et l'affectation du serveur de surveillance des agents en modifiant les liaisons du proxy client au niveau du serveur de surveillance concentrateur.

Pour configurer la passerelle pare-feu, vous devez accomplir deux tâches :

1. Créez un document XML qui indique un ensemble de zones, chacun contenant au moins une interface serveur (en amont) dotée d'une ou plusieurs interfaces client intégrées (en aval). Le document XML doit être stocké en tant que membre de rhilev.rte.La bibliothèque RKANPARU et le nom de membre doivent être conformes aux normes de dénomination z/OS® (pas plus de 8 caractères).

   Voici un exemple du document XML de la passerelle, stocké comme membre ZOSPROXY de la bibliothèque RKANPARU :

   000001 <tep:gateway xmlns:tep="http://xml.schemas.ibm.com/tivoli/tep/kde/"     
   000002  name="zOSproxy" threads="32">
   000003 <zone name="trusted" maxconn="512" error="ignore">
   000004 <interface name="zosproxy_upstream" role="proxy">
   000005 <bind ipversion="4" localport="pool2K" service="tems_pipe">
   000006 <connection remoteport="1920">127.0.0.1</connection>
   000007 </bind>
   000008 <interface name="zosproxy_downstream" role="listen">
   000009 <bind ipversion="4" localport="60902">
   000010 </bind>
   000011 </interface>
   000012 </interface>
   000013 </zone>
   000014 <portpool name="pool2K">20000-21023 21024-22047</portpool>
   000015 </tep:gateway>

   Pour obtenir des informations de référence sur les éléments du document XML de la passerelle, consultez la section Structure du document XML de l'annexe Pare-feu du Guide d'installation et de configuration.

2. Dans le membre KppENV de la bibliothèque rhilev.rte.RKANPARU, ajoutez une variable d'environnement KDE_GATEWAY qui fait référence au document XML.
   Exemple :

    KDE_GATEWAY=ZOSPROXY