BIT7信息系統(tǒng)安全架構(gòu)-網(wǎng)站安全架構(gòu)

1、網(wǎng)站安全體系架構(gòu)孫建偉北京理工大學(xué)軟件學(xué)院提綱網(wǎng)站工作作原理網(wǎng)站架構(gòu)構(gòu)網(wǎng)站與瀏瀏覽器的的交互Web應(yīng)用攻擊擊網(wǎng)頁(yè)篡改改注入式攻攻擊跨站攻擊擊Web應(yīng)用安全全體系架架構(gòu)分析析輸入驗(yàn)證證網(wǎng)站備份份恢復(fù)架架構(gòu)立體防護(hù)護(hù)體系Web應(yīng)用程序序的邏輯輯架構(gòu)三層架構(gòu)構(gòu)(3-tier application)通常意義義上的三三層架構(gòu)構(gòu)就是將將整個(gè)業(yè)業(yè)務(wù)應(yīng)用用劃分為為：表現(xiàn)現(xiàn)層（UI）、業(yè)務(wù)務(wù)邏輯層層（BLL）、數(shù)據(jù)據(jù)訪問(wèn)層層（DAL）。區(qū)分分層次的的目的即即為了“高內(nèi)聚聚，低耦耦合”的的思想。、表現(xiàn)現(xiàn)層（UI）：通俗俗講就是是展現(xiàn)給給用戶(hù)的的界面，即用戶(hù)戶(hù)在使用用一個(gè)系系統(tǒng)的時(shí)時(shí)候他的的所見(jiàn)所所得。、業(yè)務(wù)務(wù)邏

2、輯層層（BLL）：針對(duì)對(duì)具體問(wèn)問(wèn)題的操操作，也也可以說(shuō)說(shuō)是對(duì)數(shù)數(shù)據(jù)層的的操作，對(duì)數(shù)據(jù)據(jù)業(yè)務(wù)邏邏輯處理理。、數(shù)據(jù)據(jù)訪問(wèn)層層（DAL）：該層層所做事事務(wù)直接接操作數(shù)數(shù)據(jù)庫(kù)，針對(duì)數(shù)數(shù)據(jù)的增增、刪、改、查查。網(wǎng)站的層層次結(jié)構(gòu)構(gòu)操作系統(tǒng)統(tǒng)：管理理計(jì)算機(jī)機(jī)平臺(tái)資資源Web服務(wù)器：解析HTTP請(qǐng)求，處處理網(wǎng)頁(yè)頁(yè)文件，執(zhí)行動(dòng)動(dòng)態(tài)腳本本網(wǎng)站文件件系統(tǒng)靜態(tài)網(wǎng)頁(yè)頁(yè)動(dòng)態(tài)網(wǎng)頁(yè)頁(yè)后臺(tái)數(shù)據(jù)據(jù)庫(kù)4HTTP工作原原理因特網(wǎng)HTTP使用此TCP連接瀏覽器 程序服務(wù)器 程序HTTP客戶(hù)建立 TCP 連接釋放 TCP 連接HTTP 響應(yīng)報(bào)文 響應(yīng)文檔HTTP 請(qǐng)求報(bào)文 請(qǐng)求文檔Web訪訪問(wèn)工作作原理Web訪訪問(wèn)工作作原理瀏覽器結(jié)結(jié)構(gòu)

3、與遠(yuǎn)地服務(wù)器通通信輸出至顯顯示器從鼠標(biāo)和和鍵盤(pán)輸輸入網(wǎng)絡(luò)絡(luò)接接口口可選客戶(hù)戶(hù)程序HTML解釋程序序可選解釋釋程序控 制程程序序驅(qū)動(dòng)程序HTTP客戶(hù)程序序緩 存9服務(wù)器端端技術(shù)實(shí)實(shí)現(xiàn)原理理Web瀏覽器Web服務(wù)器HTTP請(qǐng)求HTTP響應(yīng)本地磁盤(pán)盤(pán)獲取請(qǐng)求求頁(yè)1.檢查網(wǎng)頁(yè)頁(yè)是否是是動(dòng)態(tài)網(wǎng)網(wǎng)頁(yè)2.如果是則則運(yùn)行其其中的服服務(wù)器端端程序3.生成靜態(tài)態(tài)網(wǎng)頁(yè)發(fā)發(fā)送到客客戶(hù)端10網(wǎng)站成為為網(wǎng)絡(luò)攻攻擊的焦焦點(diǎn)操作系統(tǒng)統(tǒng)的復(fù)雜雜性已公布超超過(guò)1萬(wàn)萬(wàn)多個(gè)系系統(tǒng)漏洞洞Web服務(wù)器的的漏洞網(wǎng)站應(yīng)用用漏洞網(wǎng)站配置置的問(wèn)題題網(wǎng)站系統(tǒng)統(tǒng)設(shè)計(jì)缺缺乏安全全性架構(gòu)構(gòu)的支持持網(wǎng)頁(yè)的安安全性設(shè)設(shè)計(jì)不夠夠注入式攻攻擊多個(gè)應(yīng)用用系統(tǒng)不不

4、同的開(kāi)開(kāi)發(fā)者，組織的的缺陷 10Web攻擊事件件-篡改網(wǎng)頁(yè)頁(yè) 11Web攻擊事件件-篡改數(shù)據(jù)據(jù)12Web攻擊事件件-跨站攻擊擊13Web攻擊事件件-注入式攻攻擊14Web攻擊事件件-非法上傳傳15http:/a.txt常見(jiàn)Web攻擊類(lèi)型型威脅手段后果注入式攻擊通過(guò)構(gòu)造SQL語(yǔ)句對(duì)數(shù)據(jù)庫(kù)進(jìn)行非法查詢(xún)黑客可以訪問(wèn)后端數(shù)據(jù)庫(kù)，偷竊和修改數(shù)據(jù)跨站腳本攻擊通過(guò)受害網(wǎng)站在客戶(hù)端顯不正當(dāng)?shù)膬?nèi)容和執(zhí)行非法命令黑客可以對(duì)受害者客戶(hù)端進(jìn)行控制，盜竊用戶(hù)信息上傳假冒文件繞過(guò)管理員的限制上傳任意類(lèi)型的文件黑客可以篡改網(wǎng)頁(yè)、圖片和下載文件等不安全本地存儲(chǔ)偷竊cookie和session token信息黑客獲取用戶(hù)關(guān)鍵資

5、料，冒充用戶(hù)身份非法執(zhí)行腳本執(zhí)行系統(tǒng)默認(rèn)的腳本或自行上傳的WebShell腳本等黑客完全控制服務(wù)器非法執(zhí)行系統(tǒng)命令利用Web服務(wù)器漏洞上執(zhí)行Shell命令Execute等黑客獲得服務(wù)器信息源代碼泄漏利用Web服務(wù)器漏洞或應(yīng)用漏洞獲得腳本源代碼黑客分析源代碼從而更有針對(duì)性的對(duì)網(wǎng)站攻擊URL訪問(wèn)限制失效黑客可以訪問(wèn)非授權(quán)的資源連接黑客可以強(qiáng)行訪問(wèn)一些登陸網(wǎng)頁(yè)、歷史網(wǎng)頁(yè)16 攻擊手段段示例之之一Unicode漏洞漏洞選介介Unicode漏洞微軟的IIS在Unicode字符解碼碼的實(shí)現(xiàn)現(xiàn)中存在在一個(gè)安安全漏洞洞，導(dǎo)致致用戶(hù)可可以遠(yuǎn)程程通過(guò)IIS執(zhí)行任意意命令可以復(fù)制制、刪除除、列目目錄、系系統(tǒng)配置置等

6、任何人利利用普通通瀏覽器器即可發(fā)發(fā)起攻擊擊存在于Windows NT/2000(IIS4.0/5.0)中2001年初發(fā)發(fā)現(xiàn)，2001年8月月修復(fù) 18漏洞原理理IIS對(duì)特殊字字符URL請(qǐng)求的解解碼錯(cuò)誤誤%c1%1c-(0 xc1- 0 xc0) *0 x40+ 0 x1c=0 x5c =/%c0%2f-(0 xc0-0 xc0)* 0 x40+0 x2f =0 x2f= 構(gòu)造含有有特殊字字符的URL請(qǐng)求繞過(guò)IIS的路徑檢檢查可以執(zhí)行行或打開(kāi)開(kāi)任意文文件 19測(cè)試方法法測(cè)試URLhttp:/badou/scripts/.%u00255c./winnt/system32/cmd.exe?/c+di

7、r+d:badou是任意一一臺(tái)（未未打補(bǔ)丁丁的）Windows 2000主機(jī)的IIS服務(wù)器返回結(jié)果果目標(biāo)主機(jī)機(jī)D盤(pán)下的文文件目錄錄 20利用漏洞洞列目錄錄 21利用漏洞洞進(jìn)行攻攻擊22注入式攻攻擊注入式攻攻擊全稱(chēng)為“SQL注入式攻攻擊”攻擊者利利用網(wǎng)站站動(dòng)態(tài)網(wǎng)網(wǎng)頁(yè)程序序設(shè)計(jì)上上的漏洞洞，在目目標(biāo)的Web服務(wù)器上上運(yùn)行SQL命令繞過(guò)登錄錄身份檢檢查、獲獲得系統(tǒng)統(tǒng)管理員員密碼、非法獲獲取數(shù)據(jù)據(jù)、非法法篡改數(shù)數(shù)據(jù)、生生成非法法文件、非法執(zhí)執(zhí)行命令令等24漏洞原理理攻擊者在在表單輸輸入或者者URL請(qǐng)求中發(fā)發(fā)送SQL語(yǔ)句片斷斷，期望望通過(guò)Web應(yīng)用腳本本合成為為帶有攻攻擊目的的的SQL語(yǔ)句應(yīng)用腳本本：A

8、SP、JSP、PHP數(shù)據(jù)庫(kù)：一切支支持SQL的數(shù)據(jù)庫(kù)庫(kù)系統(tǒng) SQL注入機(jī)理理分析數(shù)據(jù)庫(kù)應(yīng)用程序服務(wù)器客戶(hù)端（瀏覽器）請(qǐng)求 響應(yīng) 查詢(xún) 結(jié)果集 SQL注入機(jī)理理分析（續(xù)）/構(gòu)建SQL查詢(xún)語(yǔ)句句=“SELECT nameFROMtbUserInfo WHERE id=(用戶(hù)輸入入的數(shù)據(jù)據(jù))”用戶(hù)名：wcor1=1 -密碼：xxxxSELECT name FROM tbUserInfo WHERE id= wc or 1=1 - SQL注入攻擊擊的一般般過(guò)程探測(cè)注入點(diǎn)確定數(shù)據(jù)庫(kù)類(lèi)型和版本猜解數(shù)據(jù)庫(kù)結(jié)構(gòu)確定當(dāng)前用戶(hù)權(quán)限提取信息息篡改數(shù)據(jù)據(jù)發(fā)起高級(jí)攻擊使用特定存儲(chǔ)過(guò)程遍歷目錄錄結(jié)構(gòu)修改注冊(cè)冊(cè)碼 SQL注

9、入攻擊擊的特點(diǎn)點(diǎn)SQL注入漏洞洞是一個(gè)個(gè)入口，攻擊者者通過(guò)它它可以發(fā)發(fā)動(dòng)更高高級(jí)的攻攻擊，例例如控制制目標(biāo)系系統(tǒng)。隱蔽性后果嚴(yán)重性使用黑客客工具NBSIHDSIDomainX-ScanPangolin30攻擊手段段示例之之三跨站攻擊擊防跨站攻攻擊示例例應(yīng)用系統(tǒng)統(tǒng)未對(duì)瀏瀏覽器輸輸入的參參數(shù)進(jìn)行行檢查和和處理，直接返返回給用用戶(hù)的瀏瀏覽器。B請(qǐng)輸入轉(zhuǎn)轉(zhuǎn)賬金額額：B轉(zhuǎn)賬成功功！B銀行破產(chǎn)產(chǎn)！Xxxs blog:宣布破產(chǎn)請(qǐng)點(diǎn)擊官官方鏈接10000確定1.正常常業(yè)務(wù)2.跨站攻擊擊跨站攻擊擊還能做做什么在客戶(hù)端端執(zhí)行腳腳本JavaScriptVBScript偷取和仿仿冒用戶(hù)戶(hù)身份和和信息cookieses

10、sion向其他站站點(diǎn)提交交信息跳轉(zhuǎn)到其其他站點(diǎn)點(diǎn) 33對(duì)策配置和管管理配置網(wǎng)絡(luò)絡(luò)和主機(jī)機(jī)編寫(xiě)安全全的應(yīng)用用程序安全掃描描模擬滲透透工具代碼復(fù)查查工具安全防護(hù)護(hù)網(wǎng)頁(yè)完整整性檢查查應(yīng)用防火火墻 34對(duì)策一配置和管管理應(yīng)用程序序安全設(shè)設(shè)計(jì)原則則權(quán)限區(qū)域域劃分使用最少少的特權(quán)權(quán)應(yīng)用深入入的防御御手段不要信任任用戶(hù)的的輸入在網(wǎng)關(guān)處處進(jìn)行檢檢查出現(xiàn)故障障時(shí)的安安全性保證最脆脆弱的鏈鏈接的安安全創(chuàng)建安全全的默認(rèn)認(rèn)值減小受攻攻擊的范范圍 36應(yīng)用程序序安全關(guān)關(guān)注點(diǎn)“如何安安全地處處理異常常？”“如何保保證開(kāi)發(fā)發(fā)人員工工作站的的安全性性？”“如何編編寫(xiě)具有有最低權(quán)權(quán)限的代代碼？”“如何限限制文件件I/O？”“如

11、何防防止SQL注入？”“如何防防止跨站站點(diǎn)腳本本編寫(xiě)？”“如何管管理機(jī)密密？”“如何安安全調(diào)用用非托管管代碼？”“如何執(zhí)執(zhí)行托管管代碼的的安全復(fù)復(fù)查？”“如何執(zhí)執(zhí)行安全全的輸入入驗(yàn)證？”“如何保保證窗體體身份驗(yàn)驗(yàn)證的安安全性？” 37防范注入入式攻擊擊檢查用戶(hù)戶(hù)輸入關(guān)鍵字過(guò)過(guò)濾強(qiáng)數(shù)據(jù)類(lèi)類(lèi)型服務(wù)器端端檢查最小權(quán)限限原則使用存儲(chǔ)儲(chǔ)過(guò)程使用parameters對(duì)象控制錯(cuò)誤誤信息回回顯 38防范跨站站攻擊檢查用戶(hù)戶(hù)輸入alert(xss)檢查請(qǐng)求求頭中的的referer 39對(duì)策二安全掃描描應(yīng)用安全全掃描測(cè)試方法法黑盒測(cè)試試（滲透透和黑客客工具）白盒測(cè)試試（代碼碼和開(kāi)發(fā)發(fā)生命周周期）產(chǎn)品AppScan

12、 (IBM)WebInspect (HP)N-Stalker(N-Stalker)Acunetix(Acunetix)MatriXay(亞龍安恒恒,dbappsecurity)WebRavor(安域領(lǐng)創(chuàng)創(chuàng),SecDomain) 41對(duì)策三安全防護(hù)護(hù)應(yīng)用安全全防護(hù)網(wǎng)頁(yè)防篡篡改系統(tǒng)統(tǒng)保護(hù)網(wǎng)頁(yè)頁(yè)和腳本本的完整整性安全容忍忍類(lèi)產(chǎn)品品iGuard應(yīng)用防火火墻防止針對(duì)對(duì)主機(jī)和和應(yīng)用程程序的威威脅安全防護(hù)護(hù)類(lèi)產(chǎn)品品華誠(chéng)ImpervaiWall 43網(wǎng)頁(yè)防篡篡改系統(tǒng)統(tǒng)設(shè)計(jì)思思路網(wǎng)站工作作的流程程Web服務(wù)器收收聽(tīng)請(qǐng)求求解析url查找url對(duì)應(yīng)的網(wǎng)網(wǎng)頁(yè)文件件對(duì)于靜態(tài)態(tài)網(wǎng)頁(yè)文文件,發(fā)送給客客戶(hù)端;對(duì)于動(dòng)態(tài)態(tài)網(wǎng)頁(yè)文

13、文件,服務(wù)器端端執(zhí)行腳腳本,生成頁(yè)面面文件發(fā)發(fā)送給客客戶(hù)端.網(wǎng)頁(yè)防篡篡改系統(tǒng)統(tǒng)設(shè)計(jì)思思路網(wǎng)站備份份恢復(fù)結(jié)結(jié)構(gòu)設(shè)計(jì)計(jì)網(wǎng)站文件件備份網(wǎng)站文件件在處理理前先做做完整性性校驗(yàn)通過(guò)Hook函數(shù)修改改web服務(wù)器（IIS），擴(kuò)展展完整性性校驗(yàn)功功能校驗(yàn)不通通過(guò)，則則從備份份系統(tǒng)中中恢復(fù)造造篡改的的文件為加速完完整性校校驗(yàn)，采采用數(shù)字字摘要技技術(shù)預(yù)先生成成原始文文件的摘摘要（數(shù)數(shù)字水印印）實(shí)時(shí)比對(duì)對(duì)網(wǎng)頁(yè)防篡篡改系統(tǒng)統(tǒng)設(shè)計(jì)思思路網(wǎng)站備份份恢復(fù)結(jié)結(jié)構(gòu)處理理流程Web服務(wù)器收收聽(tīng)請(qǐng)求求解析url查找url對(duì)應(yīng)的網(wǎng)網(wǎng)頁(yè)文件件讀取網(wǎng)頁(yè)頁(yè)文件后后，做完完整性校校驗(yàn)校驗(yàn)不通通過(guò)，則則從備份份中恢復(fù)復(fù)對(duì)于靜態(tài)態(tài)網(wǎng)頁(yè)文文件,

14、發(fā)送給客客戶(hù)端;對(duì)于動(dòng)態(tài)態(tài)網(wǎng)頁(yè)文文件,服務(wù)器端端執(zhí)行腳腳本,生成頁(yè)面面文件發(fā)發(fā)送給客客戶(hù)端.Web核心內(nèi)嵌嵌模塊 47硬件平臺(tái)臺(tái)（X86/sparc/ItaniumII/PowerPC/PA-RISC）操作系統(tǒng)統(tǒng)（Windows/Linux/FreeBSD/Solaris/AIX/HP-UX）Web服務(wù)器軟軟件(IIS/Apache/Weblogic/Websphere)安全核心心內(nèi)嵌模模塊requestresponse應(yīng)用防護(hù)護(hù)技術(shù)數(shù)字水印印技術(shù)Web服務(wù)器防篡改技技術(shù) 48發(fā)布服務(wù)務(wù)器Web服務(wù)器FTP/rsync一般發(fā)布布過(guò)程篡改檢測(cè)測(cè)模塊自動(dòng)發(fā)布布子系統(tǒng)監(jiān)控和恢恢復(fù)子系統(tǒng)+篡改檢測(cè)測(cè)子

15、系統(tǒng)SSL1.上傳傳正常網(wǎng)網(wǎng)頁(yè)=X水印庫(kù)2.瀏覽正常常網(wǎng)頁(yè)3.篡改網(wǎng)頁(yè)頁(yè)4.瀏覽篡改改網(wǎng)頁(yè)5.自動(dòng)恢復(fù)復(fù)文件系統(tǒng)統(tǒng)工作過(guò)程程發(fā)布過(guò)程程發(fā)布內(nèi)嵌嵌模塊檢檢測(cè)到文文件創(chuàng)建建/變化化為文件產(chǎn)產(chǎn)生加密密和不可可逆轉(zhuǎn)數(shù)數(shù)字水印印通過(guò)加密密通道傳傳送到Web服務(wù)器檢測(cè)過(guò)程程公眾發(fā)出出請(qǐng)求瀏瀏覽網(wǎng)頁(yè)頁(yè)應(yīng)用防護(hù)護(hù)子系統(tǒng)統(tǒng)檢查請(qǐng)請(qǐng)求的合合法性頁(yè)面保護(hù)護(hù)子系統(tǒng)統(tǒng)檢查數(shù)數(shù)字水印印完整性性其它網(wǎng)頁(yè)頁(yè)篡改防防護(hù)的技技術(shù)路線線外掛輪詢(xún)?cè)冎谱骶W(wǎng)站站備份定期抓取取網(wǎng)頁(yè)與與相應(yīng)的的備份網(wǎng)網(wǎng)頁(yè)比對(duì)對(duì)特點(diǎn):可以是后后臺(tái)或前前臺(tái)無(wú)法做到到實(shí)時(shí)恢恢復(fù)其它網(wǎng)頁(yè)頁(yè)篡改防防護(hù)的技技術(shù)路線線文件保護(hù)護(hù)（事件件觸發(fā)）改造操作作系統(tǒng)文文件管理理功

16、能，監(jiān)控和和阻斷文文件寫(xiě)操操作只有特權(quán)權(quán)帳戶(hù)才才能作寫(xiě)寫(xiě)操作Web服務(wù)器帳帳戶(hù)權(quán)限限只有讀讀取權(quán)限限特點(diǎn):權(quán)限管理理過(guò)于嚴(yán)嚴(yán)格限制了web服務(wù)器功功能，不不能適應(yīng)應(yīng)Web2.0技術(shù)的要要求網(wǎng)頁(yè)防篡篡改技術(shù)術(shù)比較 外掛輪詢(xún)核心內(nèi)嵌事件觸發(fā)訪問(wèn)篡改網(wǎng)頁(yè)可能不可能可能 動(dòng)態(tài)網(wǎng)頁(yè)防護(hù)不支持支持不支持服務(wù)器負(fù)載中低極低 帶寬占用中無(wú)無(wú) 檢測(cè)時(shí)間分鐘級(jí)實(shí)時(shí)毫秒繞過(guò)檢測(cè)機(jī)制 不可能不可能可能防范連續(xù)篡改不能 支持 不支持?jǐn)嗑€時(shí)檢測(cè)不能能不能 適用操作系統(tǒng)所有所有受限 Web服務(wù)器內(nèi)內(nèi)置的其其它防護(hù)護(hù)功能同完整性性校驗(yàn)功功能的實(shí)實(shí)現(xiàn)類(lèi)似似，web服務(wù)器在在結(jié)構(gòu)上上可以擴(kuò)擴(kuò)展其它它防護(hù)模模塊SQL參數(shù)的校校驗(yàn)處

17、理理用戶(hù)提交交數(shù)據(jù)中中惡意腳腳本的檢檢查過(guò)濾濾上述處理理功能也也可以在在防火墻墻平臺(tái)上上實(shí)現(xiàn)不適用于于HTTPS模式防注入攻攻擊 SELECT*FROM userWHEREname=hackor1=1SELECT*FROM userWHEREname=zhangsanXOWeb服務(wù)器軟軟件應(yīng)用防護(hù)護(hù)模塊輸入用戶(hù)戶(hù)名：zhangsan輸入用戶(hù)戶(hù)名：hackor1=1or1.正常常訪問(wèn)2.注入攻擊擊防跨站攻攻擊示例例 55B請(qǐng)輸入轉(zhuǎn)轉(zhuǎn)賬金額額：B轉(zhuǎn)賬成功功！B銀行破產(chǎn)產(chǎn)！Xxxs blog:宣布破產(chǎn)請(qǐng)點(diǎn)擊官官方鏈接10000確定?X1.正常常業(yè)務(wù)2.跨站攻擊擊3.應(yīng)用防護(hù)護(hù)應(yīng)用防火火墻實(shí)現(xiàn)現(xiàn)方式比

18、比較項(xiàng)目軟件實(shí)現(xiàn)方式硬件實(shí)現(xiàn)方式部署點(diǎn)Web服務(wù)器網(wǎng)關(guān)網(wǎng)絡(luò)配置無(wú)須改變須改變?cè)L問(wèn)性能影響小，無(wú)瓶頸效應(yīng)影響大，有瓶頸效應(yīng)單點(diǎn)失效不可能可能升級(jí)方便可以細(xì)粒度配置方便可以成本一般較高56 關(guān)鍵腳本本的安全全性設(shè)計(jì)計(jì)對(duì)于處理理用戶(hù)輸輸入數(shù)據(jù)據(jù)的網(wǎng)站站腳本文文件，考考慮安全全性設(shè)計(jì)計(jì)Web腳本軟件件的輸入入驗(yàn)證：過(guò)濾跨跨站攻擊擊腳本、SQL注入攻擊擊等惡意意訪問(wèn)對(duì)于CC攻擊類(lèi)型型惡意訪訪問(wèn)，增增加辨識(shí)識(shí)和拒絕絕功能兩種方案案的比較較兩種輸入入驗(yàn)證方方案腳本安全全性設(shè)計(jì)計(jì)web服務(wù)器內(nèi)內(nèi)嵌模塊塊腳本安全全性設(shè)計(jì)計(jì)悟道系統(tǒng)功能能與結(jié)構(gòu)構(gòu)的關(guān)系系同樣的功功能需求求，包括括安全功功能需求求，可以以選擇不不同的技技術(shù)路線線，采用用不同的的結(jié)構(gòu)，使用不不同的部部署模式式復(fù)雜的安安全功能能必然需需要一種種組合的的結(jié)構(gòu)Web應(yīng)用安全全防護(hù)體體系傳統(tǒng)網(wǎng)絡(luò)絡(luò)安全設(shè)設(shè)備防火墻限制地址址和端口口訪問(wèn)驗(yàn)證和加加固網(wǎng)絡(luò)絡(luò)協(xié)議入侵檢測(cè)測(cè)基于網(wǎng)絡(luò)絡(luò)層的數(shù)數(shù)據(jù)包檢檢查問(wèn)題Web/80端口誰(shuí)來(lái)來(lái)保護(hù)？應(yīng)用數(shù)據(jù)據(jù)誰(shuí)來(lái)保保護(hù)？如何保證證公眾瀏瀏覽到的的信息是原始的的？Web漏洞SQL數(shù)據(jù)庫(kù)注注入漏洞洞腳本