有很多人都认可“没有Web，就没有Internet”。Web 服务是一种可以用来解决跨越网络应用集成问题的开发模式，这种模式为实现“软件作为服务”提供了技术保障。观看了赵明同学设计的网络拓扑结后，我只能说这个哥们的胆子是在太大了，在没有任何防御手段前，就干利用一台负载均衡器直接挂接在Internet上，看来他抽烟还是抽的少。而“软件作为服务”实质上是一种提供软件服务的机制，这种机制可以在网络上暴露可编程接口，并通过这些接口来共享站点开放出来的功能。可是在很多情况下，Web应用程序及 Web站点往往易遭受到各种各样的攻击，数据在网络传输过程中也很容易被窃取或盗用。

　　Web的外围防御何等重要

　　Web服务的安全涉及了很多内容，我们可以从他可能受到的攻击上看，例如对WEB应用程序的破坏、绕过验证与Session验证、获取管理权限、获取资源、针对主机漏洞与WEB安全漏洞攻击、跨站脚本攻击及SQL注射攻击等等。另外，硬件与物理环境的错误，也都会导致资源无法被客户端访问到。安全面的Web安全防御要从以下几个方面入手，构建出一个安全的防御架构：?

　　资源保护：对于重要资源，如数据库中或文件系统上的数据;物理环境，如UPS供电、磁盘冗余、双机冗余;Internet访问接口的访问控制，数据的授权与认证访问。?

　　威胁和威胁建模：所有类型的威胁包括网络威胁、主机威胁、与应用的威胁;重点放在Web应用的威胁，如：SQL注入、跨网站脚本、输入篡改、劫获会话等;掌握威胁建模的方法与步骤，使你能系统地全面地了解Web应用可能的威胁。?

　　程序缺陷与服务漏洞：包括操作系统在某方面的弱点或特性，以及它有可能造成威胁的发生。网络、主机或应用程序编写过程中可能存在缺陷。

　　攻击与对策：100%的安全是不存在的，当某人或者设备采取的危害资源的行为之后，应对威胁、减小危险的安全措施。最后是应急响应、犯罪证据的取证，以及灾难恢复工作的执行效率。