针对网站APP安全防护而言，我这里依照从根源到网站服务器內部的次序，先后整理出安全防

护的对策。针对互联网目前的服务器而言，许多网站服务器是早已做了安全策略的，有一些策略可

能都还没做。自然，由于自己水准比较有限，这儿列举的毫无疑问沒有完全覆盖。

 

最根源的问题当然是客户端请求，请求则是根据IP来定位网站服务器的。我们网站服务器的IP当然

是公开的，而客户端的IP则是不确定性的。我们假如根据剖析和控制客户端的IP，也就将安全杜绝

在根源。随后便是要对端口号开展控制。过了这两关，也就进入了网站服务器的內部逻辑性了。我

们就可以对应用领域开展剖析控制，頻率更要控制，别的的就更为仔细了。最终便是安全对策，

一般有三种：终止回应，节约性能；加入黑名单处理，之后要是这一IP的直接不让访问；针对不可

以大刀阔斧干的，就控制频率，延迟时间一段时间才可以浏览。

 

 

下边是一个简略的明细，事后将逐一表述控制的基本原理和步骤。再最终便是对于每一种控制，明

确提出完成计划方案。
 

一、安全防护：
 

1.根源控制（ip）
 

-密闭式：限制浏览的IP（特定网站服务器才可以浏览即授权浏览）

-敞开式：权限IP容许

-敞开式：黑名单IP严禁访问

-敞开式：业务流程行政部门物理地址外IP严禁（IP定位），清除代理攻击

-敞开式：业务流程行政部门物理地址内IP容许（IP定位），清除代理攻击
 

2.端口号控制
 

-著名端口号：常见的著名端口号，如80，改动著名端口号或关掉多余著名端口号。

-匿名端口号：选用不常见的服务器端口，端口号不连号。
 

3.应用领域控制(手机上或PC和别的)
 

-移动端：总是在移动端应用的接口，不对别的终端设备回应

-PC端：都能够浏览

-特殊情景：特殊情景应用的接口不曝露，且做情景剖析控制，非情景下不允许应用
 

4.频率控制
 

-浏览间隔：持续浏览间隔控制

-周期时间间隔：周期时间内浏览间隔控制

-周期时间浏览频次：周期时间浏览频次控制

-特殊情景浏览频次控制：特殊情景频次剖析
 

5.请求详细地址控制
 

-不存在的地址控制

-主动攻击的详细地址控制
 

6.主要参数控制
 

-不必要的主要参数：不必要的主要参数剖析和记录

-SQL攻击：SQL攻击

-XSS攻击：js脚本制作攻击和url检验

-主要参数赋值：有效取值范围和种类
 

7.步骤控制
 

-步骤系统漏洞控制，保证沒有步骤空白页

-多接口混和应用产生的步骤系统漏洞控制
 

8.缓存文件控制
 

-缓存文件升级系统漏洞体制

-缓存文件不同歩系统漏洞控制
 

9.bug不正确控制
 

-出现异常控制

-出现异常曝露

-出现异常步骤控制

-bug对设计方案的冲击性控制
 

10.系统软件合作控制
 

-跨平台合作步骤系统漏洞控制
 

11.分布式系统控制
 

-数据信息一致性系统漏洞

 

12.网站服务器系统漏洞
 

-漏洞利用和修补如果网站程序代码不熟悉的话存在漏洞被入侵等问题那就得需要专业的网站安

全公司来处理，在这里给大家推荐SINESAFE，鹰盾安全，绿盟，石安科技等等都是比较专业

的安全公司。