一年前，我开始着眼于研究网络服务安全；一年后，安全所涉及的问题仍然是客户不能接受网络服务配置的主要原因之一。网络服务安全标准仍然在发展之中，相对较少的客户正在使用网络服务，他们所依赖的是一种靠得住的新版本工具：防火墙。

　　当防火墙用于网络中时，它会检查数据包，比如，检查数据包是否来自一个可接受的IP地址或者网址。当用于网络服务环境中时，防火墙会检查用可扩展标记语言（XML）编写的网络服务请求，或者简单对象访问协议（SOAP）所传输的网络服务请求。

　　所谓的应用防火墙、XML防火墙或者XML通信网关，它们或者作为软件出售，可以在服务器上运行；或者作为专用的、严格安装的设备出售。许多产品将检测网络服务信息的功能与其它功能结合起来，比如专业芯片可以加速XML信息（XML信息比网络防火墙扫描的数据包要大得多）的进程，或者提高执行身份管理的能力。

　　诸如身份管理之类的功能将会越来越重要。Jason Bloomberg是马萨诸塞州瑟姆福雷斯特市的一家网络服务研究公司ZapThink LLC的高级分析家，他说：“如果有人仅仅能查看SOAP信息的内容，并获得你的信用卡号码，这并不会起到多大作用。”

　　Bloomberg说：“可以防止这种偷窃行为的主要经销商有Forum Systems公司、Westbridge Technology公司、Reactivity公司、Vordel公司、Sarvega公司和 DataPower Technology公司。每家公司都自夸将安全、加速度和策略管理性能进行了不同结合。比如，DataPower公司的XS40 XML安全网关设备结合了一些安全特性：如将带有加密、解密功能的XML/SOAP防火墙与安全套接层(SSL)通信量的加速度结合起来。

　　KaVaDo公司的创始人之一、技术总监Yuval Ben-Itzhak说：“KaVaDo公司将其InterDo应用层防火墙与ScanDo网络服务安全扫描器结合起来，该网络安全扫描器可以分析配置在网络服务器上的应用程序，并构建一个可接受行为或者用户请求的框架。”他还提到：“仅仅允许特殊准许的信息流通过，这样InterDo就减少了误报，否则误报会使安全管理员不安。使用ScanDo不仅仅为每个网络服务加速了创建合适安全策略的进程，也同时为网络服务中的特殊操作（诸如“核查目录级别”）加速了进程。”MagniFire WebSystems公司对其TrafficShield设备也采取了类似的方法，TrafficShield设备使用“智能、履带式技术”来编写应用程序，并自动创建一个策略来保护应用程序。

　　Westbridge公司出售一种“XML通信网关”，它可以储存特定的安全策略，比如说可以为不同级别的客户或者供应者进行存储，而无需将其硬编码到网络服务中。这使得审计更容易、更便宜，需要的时候可以执行并改变这些策略。

　　一些经销商也表示，他们正协商将其应用层防火墙与现有的网络防火墙结合起来，提供对数据包和XML文件的单点控制。Ben-Itzhak说：“客户正寻求应用层防火墙和网络防火墙之间、认证产品和负载平衡产品之间的更多结合。”

　　但是，Champion提到，他的客户，几乎没有一个想要这样的公用设备，理由是他们担心发送网络服务信息流到网络边缘附近，会更容易受到外部攻击的威胁。

　　Bloomberg说，未来另一个大的挑战是企业身份管理——可以追踪哪个用户访问了组织内部哪些资源的能力，以及了解到何时特定用户请求访问应用程序、数据库或者其它资源的能力。他指出，这在网络服务环境中是非常重要的，对于某个特定用户而言，服务请求可能是无法追踪到的，但仅对于服务器或者应用程序而言，是可以追踪到的。

　　他指出，为了确保请求是来自一个合法用户，当用户进入网络时，必须要经过认证，不同的系统会产生或者接收网络服务的请求，认证之后在这些系统中必须分配一个令牌，以在其路径上跟踪这一请求。如果公司之间共用网络服务，“由于两家公司拥有独立的身份基础设施，这将是一个更大的挑战。”

　　两大组织正在为这些联合的身份管理制定标准。本月，BEA Systems公司、IBM、微软、RSA Security公司和VeriSign公司发布了WS-Federation互联网交易安全标准，该标准的设计目的是为了准许不同组织的应用程序所使用的认证与访问控制系统可以共同工作。第二个是“自由联盟计划”（Liberty Alliance Project），该项目是由Sun Microsystems公司以及170多家公司、非赢利性组织和政府组织支持发起的。Bloomberg说：“现在还不是很清楚，我们是否需要一个以上的联合身份标准，或者确切的说是他们将如何共同工作。”

　　直到那时，诸如Netegrity公司、RSA、Oblix公司、Novell和Sun之类的经销商会将其身份管理工具推向市场。Bloomberg将Netegrity公司称为身份管理界的领袖之一，Netegrity希望用网络服务安全的TransactionMinder，来进一步推动其SiteMinder认证技术和认证工具的成功。TransactionMinder配置了代理器，使用来自Netegrity Policy Server的数据进行身份认证，并确定谁有权访问特定的网络服务，进而对用来调用网络服务的XML文件内容进行扫描和分析。

　　通过将访问执行点（代理器）从策略服务器上分离，Netegrity的机构体系比它的竞争者更容易在组织内衡量多个点——一个分布式的安全模式，许多分析家认为它比仅对网络中的点进行集中控制要好得多。

　　Oblix和Westbridge最近宣布了身份管理工具和应用层防火墙的结合，这是各种各样的网络服务安全性能正集中到一个产品中的另一个标志。

　　Bloomberg说，虽然经销商致力于将更多的性能融合到产品中，以及标准组织全心全意完善其标准，但那些需要网络服务的客户应该开始应用这些标准，并依赖现有的安全工具。他提出建议：“如果网络服务和以服务为标准的结构体系可以满足你现在的需求，不要再犹豫了，因为这些标准还不够成熟。”