服務(wù)器的安全防護(hù)，這個(gè)是保證服務(wù)器穩(wěn)定運(yùn)行必須做好的工作。

對(duì)于安全防護(hù)來(lái)講，我這里按照從源頭到服務(wù)器內(nèi)部的順序，依次梳理出防護(hù)的措施。對(duì)于目前的服務(wù)器來(lái)講，很多服務(wù)器是已經(jīng)做了這里大部分的安全措施的，有一些措施可能還沒有做。當(dāng)然，鑒于本人水平有限，我這里列出的肯定沒有完全覆蓋，如果您有補(bǔ)充歡迎在文章底部留言。

最源頭自然是發(fā)起請(qǐng)求端的客戶端，請(qǐng)求則是通過(guò)IP來(lái)定位服務(wù)器的。我們服務(wù)器的IP自然是公開的，而客戶端的IP則是不確定的。我們?nèi)绻ㄟ^(guò)分析和控制客戶端的IP，也就將安全遏制在源頭。

然后就是要對(duì)端口進(jìn)行控制。過(guò)了這兩關(guān)，也就進(jìn)入了服務(wù)器的內(nèi)部邏輯了。我們就可以對(duì)應(yīng)用場(chǎng)景進(jìn)行分析控制，頻率更要控制，其他的就更加細(xì)致了。

最后就是安全措施，一般有三種：停止響應(yīng)，節(jié)省性能；拉黑處理，以后只要是這個(gè)IP就不響應(yīng)；對(duì)于不能大刀闊斧干的，就控制頻率，延遲一段時(shí)間才能訪問。

下面是一個(gè)簡(jiǎn)要的清單，后續(xù)將逐個(gè)解釋控制的原理和流程。再最后就是針對(duì)每一種控制，提出實(shí)現(xiàn)方案。

一、安全防護(hù)：

1.源頭控制（ip）

-封閉式：限定訪問的IP（指定服務(wù)器才能訪問即授權(quán)訪問）

-開放式：白名單IP允許

-開放式：黑名單IP禁止

-開放式：業(yè)務(wù)行政物理地址外IP禁止（IP定位），消除代理攻擊

-開放式：業(yè)務(wù)行政物理地址內(nèi)IP允許（IP定位），消除代理攻擊

2.端口控制

-知名端口：常用的知名端口，如80，修改知名端口或關(guān)閉不必要知名端口。

-匿名端口：采用不常用的端口號(hào)，端口不連號(hào)。

3.應(yīng)用場(chǎng)景控制(手機(jī)或PC和其他)

-手機(jī)端：只會(huì)在手機(jī)端使用的接口，不對(duì)其他終端響應(yīng)

-PC端：都可以訪問

-特定場(chǎng)景：特定場(chǎng)景使用的接口不暴露，且做場(chǎng)景分析控制，非場(chǎng)景下不允許使用

4.頻率控制

-訪問間隔：連續(xù)訪問間隔控制

-周期間隔：周期內(nèi)訪問間隔控制

-周期訪問次數(shù)：周期訪問次數(shù)控制

-特定場(chǎng)景訪問次數(shù)控制：特定場(chǎng)景次數(shù)分析

5.請(qǐng)求地址控制

-不存在的地址控制

-惡意攻擊地址控制

6.參數(shù)控制

-多余的參數(shù)：多余的參數(shù)分析和記錄

-SQL攻擊：SQL攻擊

-XSS攻擊：js腳本攻擊和url檢測(cè)

-參數(shù)取值：合理取值范圍和類型

7.流程控制

-流程漏洞控制，確保沒有流程空白

-多接口混合使用形成的流程漏洞控制

8.緩存控制

-緩存更新漏洞機(jī)制

-緩存不同步漏洞控制

9.bug錯(cuò)誤控制

-異?？刂?/p>

-異常暴露

-異常流程控制

-bug對(duì)設(shè)計(jì)的沖擊控制

10.系統(tǒng)協(xié)作控制

-多端協(xié)作流程漏洞控制

11.分布式控制

-數(shù)據(jù)一致性漏洞

-其他

12.服務(wù)器漏洞

-漏洞檢測(cè)和修復(fù)