服務(wù)器的安全防護(hù)，這個(gè)是保證服務(wù)器穩(wěn)定運(yùn)行必須做好的工作。

對于安全防護(hù)來講，我這里按照從源頭到服務(wù)器內(nèi)部的順序，依次梳理出防護(hù)的措施。對于目前的服務(wù)器來講，很多服務(wù)器是已經(jīng)做了這里大部分的安全措施的，有一些措施可能還沒有做。當(dāng)然，鑒于本人水平有限，我這里列出的肯定沒有完全覆蓋，如果您有補(bǔ)充歡迎在文章底部留言。

最源頭自然是發(fā)起請求端的客戶端，請求則是通過IP來定位服務(wù)器的。我們服務(wù)器的IP自然是公開的，而客戶端的IP則是不確定的。我們?nèi)绻�通過分析和控制客戶端的IP，也就將安全遏制在源頭。

然后就是要對端口進(jìn)行控制。過了這兩關(guān)，也就進(jìn)入了服務(wù)器的內(nèi)部邏輯了。我們就可以對應(yīng)用場景進(jìn)行分析控制，頻率更要控制，其他的就更加細(xì)致了。

最后就是安全措施，一般有三種：停止響應(yīng)，節(jié)省性能；拉黑處理，以后只要是這個(gè)IP就不響應(yīng)；對于不能大刀闊斧干的，就控制頻率，延遲一段時(shí)間才能訪問。

下面是一個(gè)簡要的清單，后續(xù)將逐個(gè)解釋控制的原理和流程。再最后就是針對每一種控制，提出實(shí)現(xiàn)方案。

一、安全防護(hù)：

1.源頭控制（ip）

-封閉式：限定訪問的IP（指定服務(wù)器才能訪問即授權(quán)訪問）

-開放式：白名單IP允許

-開放式：黑名單IP禁止

-開放式：業(yè)務(wù)行政物理地址外IP禁止（IP定位），消除代理攻擊

-開放式：業(yè)務(wù)行政物理地址內(nèi)IP允許（IP定位），消除代理攻擊

2.端口控制

-知名端口：常用的知名端口，如80，修改知名端口或關(guān)閉不必要知名端口。

-匿名端口：采用不常用的端口號，端口不連號。

3.應(yīng)用場景控制(手機(jī)或PC和其他)

-手機(jī)端：只會在手機(jī)端使用的接口，不對其他終端響應(yīng)

-PC端：都可以訪問

-特定場景：特定場景使用的接口不暴露，且做場景分析控制，非場景下不允許使用

4.頻率控制

-訪問間隔：連續(xù)訪問間隔控制

-周期間隔：周期內(nèi)訪問間隔控制

-周期訪問次數(shù)：周期訪問次數(shù)控制

-特定場景訪問次數(shù)控制：特定場景次數(shù)分析

5.請求地址控制

-不存在的地址控制

-惡意攻擊地址控制

6.參數(shù)控制

-多余的參數(shù)：多余的參數(shù)分析和記錄

-SQL攻擊：SQL攻擊

-XSS攻擊：js腳本攻擊和url檢測

-參數(shù)取值：合理取值范圍和類型

7.流程控制

-流程漏洞控制，確保沒有流程空白

-多接口混合使用形成的流程漏洞控制

8.緩存控制

-緩存更新漏洞機(jī)制

-緩存不同步漏洞控制

9.bug錯(cuò)誤控制

-異�？刂�

-異常暴露

-異常流程控制

-bug對設(shè)計(jì)的沖擊控制

10.系統(tǒng)協(xié)作控制

-多端協(xié)作流程漏洞控制

11.分布式控制

-數(shù)據(jù)一致性漏洞

-其他

12.服務(wù)器漏洞

-漏洞檢測和修復(fù)

二、保護(hù)措施：

1.拒絕服務(wù)：當(dāng)次停止響應(yīng)，減少性能消耗

2.拉黑：后續(xù)全部停止響應(yīng)

3.限制降頻：降低允許訪問的頻率

天下數(shù)據(jù)提供美國高防服務(wù)器、香港高防服務(wù)器、韓國高防服務(wù)器等；其中佛山高防服務(wù)器提供集群420G，單IP最大可加至240G的秒解防御，無限秒解不封機(jī)。該高防機(jī)房很好的解決各種CC、流量等DDOS攻擊，另還有DDos高防IP為您的業(yè)務(wù)保駕護(hù)航。天下數(shù)據(jù)為您私人定制服務(wù)器安全解決方案，詳詢在線客服！

本文鏈接：http://m.51huadong.com/cloundnews/11002741.html