Suporte ao gateway do firewall

Um gateway do firewall fornece opções de conectividade de ponta a ponta com políticas de gerenciamento de conexão TCP/IP (Protocolo de Controle de Transmissões/Protocolo da Internet) específicas. O gateway do firewall pode negociar inúmeros hops do firewall e suporta conversão de endereço de rede. É possível usar um gateway do firewall para configurar tráfego de rede para que seja sempre iniciado a partir da zona de rede mais segura, se dois componentes de comunicação estiverem em zonas com diferentes níveis de segurança.

Um gateway do firewall pode ser a configuração de firewall mais vantajosa se qualquer uma das condições a seguir se aplicar:

• Uma única conexão TCP (Protocolo de Controle de Transmissões) não pode se estender entre componentes do produto. Exemplo: a comunicação entre os componentes requer o cruzamento de mais de um firewall em um ambiente com uma política que não permite que uma única conexão atravesse mais de um firewall.
• Os requisitos de conexão não permitem o padrão de conexões com o servidor de monitoramento do hub. Exemplo: os agentes falham ao se conectar a um servidor de monitoramento em um zona com segurança mais alta do que aquela dos agentes; a política de segurança permite que uma conexão seja estabelecida a partir de uma zona mais segura para uma zona menos segura, mas não o contrário.
• Portas de firewall abertas devem ser reduzidas a uma única porta ou conexão. O gateway pode consolidar as portas em uma. Exemplo: failover de agente e atribuição de servidor de monitoramento devem ser gerenciados simbolicamente na extremidade do servidor de monitoramento do hub da conexão. Como as conexões de gateway são feitas entre nomes de serviços correspondentes, um administrador pode mudar o failover e a atribuição de servidor de monitoramento dos agentes mudando as ligações de proxy de cliente no servidor de monitoramento do hub.

Para configurar o gateway do firewall, deve-se executar duas tarefas:

1. Crie um documento XML (Linguagem de Marcação Extensível) que especifique um conjunto de zonas, cada uma das quais contém pelo menos uma interface de servidor (envio de dados) com uma ou mais interfaces de cliente integrado (recebimento de dados). O documento XML deve ser armazenado como um membro do rhilev.rteA biblioteca RKANPARU e o nome do membro devem estar em conformidade com os padrões de nomenclatura do z/OS® (no máximo 8 caracteres).

   Segue um exemplo de um documento XML (Linguagem de Marcação Extensível) do gateway armazenado como o membro ZOSPROXY da biblioteca RKANPARU:

   000001 <tep:gateway xmlns:tep="http://xml.schemas.ibm.com/tivoli/tep/kde/"     
   000002  name="zOSproxy" threads="32">
   000003 <zone name="trusted" maxconn="512" error="ignore">
   000004 <interface name="zosproxy_upstream" role="proxy">
   000005 <bind ipversion="4" localport="pool2K" service="tems_pipe">
   000006 <connection remoteport="1920">127.0.0.1</connection>
   000007 </bind>
   000008 <interface name="zosproxy_downstream" role="listen">
   000009 <bind ipversion="4" localport="60902">
   000010 </bind>
   000011 </interface>
   000012 </interface>
   000013 </zone>
   000014 <portpool name="pool2K">20000-21023 21024-22047</portpool>
   000015 </tep:gateway>

   Para obter informações de referência sobre os elementos do documento XML do gateway, consulte a seção Estrutura do documento XML do apêndice Firewalls do Guia de instalação e configuração.

2. No membro KppENV da biblioteca rhilev.rte.RKANPARU, inclua uma variável de ambiente KDE_GATEWAY que faça referência ao documento XML (Linguagem de Marcação Extensível).
   Exemplo:

    KDE_GATEWAY=ZOSPROXY