Supporto gateway firewall

Un gateway firewall fornisce opzioni di connessione end-to-end per ambienti con specifiche politiche di gestione della connessione TCP/IP. Il gateway firewall può negoziare numerosi hop del firewall e supporta la conversione degli indirizzi di rete. È possibile utilizzare un gateway firewall per configurare il traffico di rete in modo che venga sempre avviato dalla zona di rete più sicura, se due componenti di comunicazione si trovano in zone con livelli di sicurezza differenti.

Un gateway firewall può essere la configurazione firewall più vantaggiosa se si applica una delle seguenti condizioni:

• Una singola connessione TCP non può estendersi tra i componenti del prodotto. Esempio: la comunicazione tra i componenti richiede l'attraversamento di più di un firewall in un ambiente con una politica che non consente a una singola connessione di attraversare più di un firewall.
• I requisiti di connessione non consentono il modello predefinito di connessioni al server di monitoraggio hub. Esempio: gli agent non riescono a connettersi a un server di monitoraggio in una zona con una sicurezza superiore a quella degli agent; la politica di sicurezza consente di stabilire una connessione da una zona più sicura a una meno sicura, ma non viceversa.
• Le porte del firewall aperte devono essere ridotte a una singola porta o connessione. Il gateway può consolidare le porte in un'unica porta. Esempio: failover dell'agent e assegnazione del server di monitoraggio devono essere gestiti simbolicamente all'estremità del server di monitoraggio hub della connessione. Poiché le connessioni gateway vengono effettuate tra i nomi servizio corrispondenti, un amministratore può modificare il failover e l'assegnazione del server di monitoraggio degli agent modificando i bind del proxy client sul server di monitoraggio hub.

Per configurare il gateway firewall, è necessario eseguire due attività:

1. Creare un documento XML che specifica una serie di zone, ognuna delle quali contiene almeno un'interfaccia server (upstream) con una o più interfacce client integrate (downstream). Il documento XML deve essere memorizzato come membro di rhilev.rte.La libreria RKANPARU e il nome membro devono essere conformi agli standard di denominazione z/OS® (non più di 8 caratteri).

   Di seguito viene riportato un esempio di documento XML del gateway, memorizzato come membro ZOSPROXY della libreria RKANPARU:

   000001 <tep:gateway xmlns:tep="http://xml.schemas.ibm.com/tivoli/tep/kde/"     
   000002  name="zOSproxy" threads="32">
   000003 <zone name="trusted" maxconn="512" error="ignore">
   000004 <interface name="zosproxy_upstream" role="proxy">
   000005 <bind ipversion="4" localport="pool2K" service="tems_pipe">
   000006 <connection remoteport="1920">127.0.0.1</connection>
   000007 </bind>
   000008 <interface name="zosproxy_downstream" role="listen">
   000009 <bind ipversion="4" localport="60902">
   000010 </bind>
   000011 </interface>
   000012 </interface>
   000013 </zone>
   000014 <portpool name="pool2K">20000-21023 21024-22047</portpool>
   000015 </tep:gateway>

   Per informazioni di riferimento sugli elementi del documento XML del gateway, consultare la sezione relativa alla struttura del documento XML nell'appendice Firewall della Guida all'installazione e alla configurazione.

2. Nel membro KppENV di rhilev.rte.Libreria RKANPARU, aggiungere una variabile di ambiente KDE_GATEWAY che faccia riferimento al documento XML.
   Esempio:

    KDE_GATEWAY=ZOSPROXY