常見idc服務(wù)器安全防護(hù)和保護(hù)措施方案
對于安全防護(hù)來講鳖藕,我這里按照從源頭到服務(wù)器內(nèi)部的順序,依次梳理出防護(hù)的措施羞福。對于目前的服務(wù)器來講答渔,很多服務(wù)器是已經(jīng)做了這里大部分的安全措施的,有一些措施可能還沒有做细溅。當(dāng)然褥傍,鑒于本人水平有限,壹基比小喻這里列出的肯定沒有完全覆蓋谒兄,
最源頭自然是發(fā)起請求端的客戶端摔桦,請求則是通過IP來定位服務(wù)器的。我們服務(wù)器的IP自然是公開的,而客戶端的IP則是不確定的邻耕。我們?nèi)绻ㄟ^分析和控制客戶端的IP鸥咖,也就將安全遏制在源頭。
然后就是要對端口進(jìn)行控制兄世。過了這兩關(guān)啼辣,也就進(jìn)入了服務(wù)器的內(nèi)部邏輯了。我們就可以對應(yīng)用場景進(jìn)行分析控制御滩,頻率更要控制鸥拧,其他的就更加細(xì)致了。
最后就是安全措施削解,一般有三種:停止響應(yīng)富弦,節(jié)省性能;拉黑處理氛驮,以后只要是這個(gè)IP就不響應(yīng)腕柜;對于不能大刀闊斧干的,就控制頻率矫废,延遲一段時(shí)間才能訪問盏缤。
下面是一個(gè)簡要的清單,后續(xù)將逐個(gè)解釋控制的原理和流程蓖扑。再最后就是針對每一種控制唉铜,提出實(shí)現(xiàn)方案。
一律杠、安全防護(hù):
1.源頭控制(ip)
-封閉式:限定訪問的IP(指定服務(wù)器才能訪問即授權(quán)訪問)
-開放式:白名單IP允許
-開放式:黑名單IP禁止
-開放式:業(yè)務(wù)行政物理地址外IP禁止(IP定位)潭流,消除代理攻擊
-開放式:業(yè)務(wù)行政物理地址內(nèi)IP允許(IP定位),消除代理攻擊
2.端口控制
-知名端口:常用的知名端口柜去,如80幻枉,修改知名端口或關(guān)閉不必要知名端口。
-匿名端口:采用不常用的端口號诡蜓,端口不連號。
3.應(yīng)用場景控制(手機(jī)或PC和其他)
-手機(jī)端:只會在手機(jī)端使用的接口胰挑,不對其他終端響應(yīng)
-PC端:都可以訪問
-特定場景:特定場景使用的接口不暴露蔓罚,且做場景分析控制,非場景下不允許使用
4.頻率控制
-訪問間隔:連續(xù)訪問間隔控制
-周期間隔:周期內(nèi)訪問間隔控制
-周期訪問次數(shù):周期訪問次數(shù)控制
-特定場景訪問次數(shù)控制:特定場景次數(shù)分析
5.請求地址控制
-不存在的地址控制
-惡意攻擊地址控制
6.參數(shù)控制
-多余的參數(shù):多余的參數(shù)分析和記錄
-SQL攻擊:SQL攻擊
-XSS攻擊:js腳本攻擊和url檢測
-參數(shù)取值:合理取值范圍和類型
7.流程控制
-流程漏洞控制瞻颂,確保沒有流程空白
-多接口混合使用形成的流程漏洞控制
8.緩存控制
-緩存更新漏洞機(jī)制
-緩存不同步漏洞控制
9.bug錯(cuò)誤控制
-異巢蛱福控制
-異常暴露
-異常流程控制
-bug對設(shè)計(jì)的沖擊控制
10.系統(tǒng)協(xié)作控制
-多端協(xié)作流程漏洞控制
11.分布式控制
-數(shù)據(jù)一致性漏洞
-其他
12.服務(wù)器漏洞
-漏洞檢測和修復(fù)
QQ:3326302316? 企業(yè)QQ:3002011636?
