Unterstützung für Firewall-Gateway

Ein Firewall-Gateway stellt durchgängige Verbindungsoptionen für Umgebungen mit spezifischen Managementrichtlinien für TCP/IP-Verbindungen bereit. Das Firewall-Gateway kann zahlreiche Firewall-Hops aushandeln und es unterstützt die Netzadressumsetzung. Mit einem Firewall-Gateway können Sie den Datenaustausch im Netz so konfigurieren, dass er immer von der sichereren Netzzone aus eingeleitet wird, wenn sich zwei kommunizierende Komponenten in Zonen mit unterschiedlichen Sicherheitsstufen befinden.

Ein Firewall-Gateway kann die vorteilhafteste Firewall-Konfiguration bieten, wenn beliebige der folgenden Bedingungen zutreffen:

• Eine einzelne TCP-Verbindung kann nicht zwischen Produktkomponenten verwendet werden. Beispiel: Bei der Datenübertragung zwischen Komponenten muss mehr als eine Firewall passiert werden, obwohl die geltende Richtlinie nicht zulässt, dass eine einzelne Verbindung mehr als eine Firewall durchquert.
• Die Verbindungsanforderungen lassen das Standardmuster der Verbindungen zum Hubüberwachungsserver nicht zu. Beispiel: Agenten können keine Verbindung zu einem Überwachungsserver in einer Zone herstellen, die über eine höhere Sicherheitsstufe verfügt als die Agenten (die Sicherheitsrichtlinie erlaubt das Herstellen einer Verbindung von einer Zone mit höherer Sicherheitsstufe zu einer Zone mit geringerer Sicherheit, aber nicht umgekehrt).
• Geöffnete Firewallports müssen auf einen einzigen Port bzw. eine einzige Verbindung reduziert werden. Das Gateway kann die Ports auf einen einzigen konsolidieren. Beispiel: Die Funktionsübernahme für Agenten und die Überwachungsserverzuordnung muss auf der Verbindungsseite des Hubüberwachungsservers über Symbole verwaltet werden. Da Gatewayverbindungen zwischen übereinstimmenden Servicenamen hergestellt werden, kann ein Administrator die Zuordnung für Funktionsübernahme und Überwachungsserver der Agenten ändern, indem er die Client-Proxy-Bindungen auf dem Hubüberwachungsserver ändert.

Zum Konfigurieren des Firwall-Gateways müssen Sie die beiden folgenden Tasks ausführen:

1. Erstellen Sie ein XML-Dokument, in dem eine Gruppe mit Zonen angegeben wird, die jeweils über mindestens eine (vorgelagerte) Serverschnittstelle mit mindestens einer integrierten (nachgelagerten) Clientschnittstelle verfügt. Das XML-Dokument muss als Member von rhilev.rtegespeichert werden.Die Bibliothek RKANPARU und der Membername müssen den z/OS® -Benennungsstandards entsprechen (maximal 8 Zeichen).

   Das folgende Beispiel ist ein XML-Gatewaydokument, das als Member ZOSPROXY in der Bibliothek RKANPARU gespeichert wird:

   000001 <tep:gateway xmlns:tep="http://xml.schemas.ibm.com/tivoli/tep/kde/"     
   000002  name="zOSproxy" threads="32">
   000003 <zone name="trusted" maxconn="512" error="ignore">
   000004 <interface name="zosproxy_upstream" role="proxy">
   000005 <bind ipversion="4" localport="pool2K" service="tems_pipe">
   000006 <connection remoteport="1920">127.0.0.1</connection>
   000007 </bind>
   000008 <interface name="zosproxy_downstream" role="listen">
   000009 <bind ipversion="4" localport="60902">
   000010 </bind>
   000011 </interface>
   000012 </interface>
   000013 </zone>
   000014 <portpool name="pool2K">20000-21023 21024-22047</portpool>
   000015 </tep:gateway>

   Referenzinformationen zu den Elementen des Gateway-XML-Dokuments finden Sie im Abschnitt „XML-Dokumentstruktur“ im Anhang „Firewalls“ des Handbuchs „Installation und Einrichtung “.

2. Fügen Sie im Member KppENV der Bibliothek rhilev.rte.RKANPARU eine Umgebungsvariable KDE_GATEWAY hinzu, die auf das XML-Dokument verweist.
   Beispiel:

    KDE_GATEWAY=ZOSPROXY