三．网络加固建议

    针对Web服务的攻击有很多，例如对WEB应用程序的破坏、绕过验证与Session验证、获取管理权限、获取资源、针对主机漏洞与WEB安全漏洞攻击、跨站脚本攻击及SQL注射攻击等等。另外，硬件与物理环境的错误，也都会导致资源无法被客户端访问到。安全面的Web安全防御要从以下几个方面入手，构建出一个安全的防御架构：

    资源保护
    重要资源，如数据库中或文件系统上的数据；物理环境，如UPS供电、磁盘冗余、双机冗余；Internet访问接口的访问控制，数据的授权与认证访问。

    威胁和威胁建模
    所有类型的威胁包括网络威胁、主机威胁、与应用的威胁；重点放在Web应用的威胁，如：SQL注入、跨网站脚本、输入篡改、劫获会话等；掌握威胁建模的方法与步骤，使你能系统地全面地了解Web应用可能的威胁。

    程序缺陷与服务漏洞
    包括操作系统在某方面的弱点或特性，以及它有可能造成威胁的发生。网络、主机或应用程序编写过程中可能存在缺陷。

    攻击与对策
    100%的安全是不存在的，当某人或者设备采取的危害资源的行为之后，应对威胁、减小危险的安全措施。最后是应急响应、犯罪证据的取证，以及灾难恢复工作的执行效率。

    在多数的网络中，我们不可能将Web主机直接曝露在Internet上，所以使用NAT(Network Address Translation，网络地址翻译)技术，将局域网中Web服务器的内部地址翻译成合法的Internet IP地址使用，这是提高Web主机安全性的普遍做法。例如：在一台路由器上要想对外发布IIS / FTP站点，则只能使用路由器的端口映射(端口地址翻译)NAT技术来完成，如80端口映射成Web服务器，21端口映射成FTP服务器。假定192.168.1.1和192.168.1.2 是企业内部局域网的Web和FTP服务器的地址，80是Web服务器的端口21是FTP服务器的端口。在CISCO 的路由器做端口映射，可以通过下面两个命令实现：
    ip nat inside source static tcp 192.168.1.1 80 202.86.149.1 80
    ip nat inside source static tcp 192.168.1.2 21 202.86.149.1 21
    最后是配合ACL入口规则的使用：
    access-list 101 permit tcp any host 202.86.149.1 eq 80
    intface e0
    ip access-group 101 in

    本网站加固可首先利用传统方法，架构网络防护层，比如关闭外部网络访问3389端口等。