防火墙网关支持

防火墙网关 为具有特定 TCP/IP 连接管理策略的环境提供端到端连接选项。 防火墙网关可以协商众多防火墙中继段，并支持网络地址转换。 如果两个通信组件位于具有不同安全级别的区域中，那么您可以使用防火墙网关来配置网络流量，以使其始终从更安全的网络区域启动。

如果以下任何条件适用，那么防火墙网关可能是最有利的防火墙配置:

• 单个 TCP 连接不能跨产品组件。 示例: 组件之间的通信需要在策略不允许单个连接遍历多个防火墙的环境中跨越多个防火墙。
• 连接需求不允许与中心监视服务器的缺省连接模式。 示例: 代理程序无法连接到比代理程序安全性更高的区域中的监视服务器; 安全策略允许建立从较安全的区域到较不安全的区域的连接，但不允许通过其他方式建立连接。
• 打开的防火墙端口必须减少到单个端口或连接。 网关可以将这些端口合并为一个端口。 示例: 必须在连接的中心监视服务器端象征性地管理代理程序故障转移和监视服务器分配。 由于在匹配的服务名称之间建立了网关连接，因此管理员可以通过更改中心监视服务器上的客户机代理绑定来更改代理程序的故障转移和监视服务器分配。

要配置防火墙网关，必须执行两项任务:

1. 创建用于指定一组区域的 XML 文档，每个区域至少包含一个具有一个或多个嵌入式客户机 (下游) 接口的服务器 (上游) 接口。 XML 文档必须存储为 rhilev.rte的成员。RKANPARU 库和成员名必须符合 z/OS® 命名标准 (不超过 8 个字符)。

   以下是存储为 RKANPARU 库的 ZOSPROXY 成员的网关 XML 文档示例:

   000001 <tep:gateway xmlns:tep="http://xml.schemas.ibm.com/tivoli/tep/kde/"     
   000002  name="zOSproxy" threads="32">
   000003 <zone name="trusted" maxconn="512" error="ignore">
   000004 <interface name="zosproxy_upstream" role="proxy">
   000005 <bind ipversion="4" localport="pool2K" service="tems_pipe">
   000006 <connection remoteport="1920">127.0.0.1</connection>
   000007 </bind>
   000008 <interface name="zosproxy_downstream" role="listen">
   000009 <bind ipversion="4" localport="60902">
   000010 </bind>
   000011 </interface>
   000012 </interface>
   000013 </zone>
   000014 <portpool name="pool2K">20000-21023 21024-22047</portpool>
   000015 </tep:gateway>

   有关网关XML文档元素的参考信息，请参阅《防火墙附录》 中的XML文档结构部分 ， 该附录属于《安装与配置指南》。

2. 在 rhilev.rte的 KppENV 成员中。RKANPARU 库，添加引用 XML 文档的 KDE_GATEWAY 环境变量。
   示例：

    KDE_GATEWAY=ZOSPROXY