- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我们刚刚使用 .NET MVC 框架为我的公司开发了一个新网站。支持我们应用程序的 SQL 服务器保存着一些关键数据,例如其他 Web 用户的个人资料,我们希望确保这些数据不会因公司声誉风险而泄露。
我们对保护网站安全有很多想法,但我想了解 stackoverflow 的看法。我们将在登录屏幕上使用 SSL,并防止基本的附加方法,例如 SQL 注入(inject)、跨站点脚本攻击。
但是我们担心物理机器会被某些漏洞利用。我们将在 DMZ 中运行 Web 服务器(带有 IIS7 的 Windows Server 2008 SP2),仅向 Internet 开放端口 80 和 443。目前,sql 服务器位于网络服务器计算机上,但我们正在考虑这是否存在安全风险。将 sql 服务器托管在第二个 DMZ 中的计算机中是否有助于安全?
我们还考虑使用在一个 DMZ 中运行带有 mod_proxy 的 Apache 的 Ubuntu 机器,它将“重定向”80 或 443 个请求到第二个 DMZ 中的独立 Windows 计算机,该计算机将执行 Web 服务和 SQL Server 托管。
我们得到的其他一些建议是使用 WatchGuard 等产品,该产品显然可以过滤 http 数据包以符合标准,从而阻止狡猾的数据包到达网络服务器。
我们还应该注意哪些其他事情?
谢谢
最佳答案
仅允许 80 和 443 是一个非常好的主意。 DMZ 代表非军事区,这是为了定义 NAT 上的一台机器,所有流量都可以访问,应该避免这种情况。允许 SQL Server 和端口 445 会让你遭到黑客攻击,毕竟你运行的是 Windows,而且另一个 RPC 漏洞出现只是时间问题。
您必须做的最重要的事情是测试您的安全性。仅仅说你正在防止 xss 和 sql 注入(inject)是不够的。所有安全系统都必须被证明能够阻止攻击。
你如何测试你的系统?我喜欢 Acunetix,但它价格过高,但是有一个 free xss tester 。对于 SQL 注入(inject)和其他漏洞,我建议使用 Wapiti这是免费的。我建议使用OpenVAS这是 Nessus 的新开源版本,现已成为商业产品。 OpenVAS 会告诉您服务器是否配置错误或者您是否正在运行旧软件。您应该对系统进行完整端口扫描来测试您的防火墙,此命令将起作用nmap -sT -p 1-65535 domain.com
,这也可以通过 OpenVas 完成。
测试您的系统后。然后安装 Web 应用程序防火墙 mod_ secuirty对于 Apache 来说是一个不错的选择,您可以使用反向代理来让 mod_security 与 IIS 一起使用。 Aqtronix是一个为IIS构建的开源WAF,但我没有使用过。
关于asp.net-mvc - 有关网站安全的建议,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2362137/
我是一个相对较新的程序员; CS 学士学位,大学毕业大约 2 年,主要使用 C# 中的 .NET。我对 SQL 交互/脚本编写相当流利,并且对 ASP.NET 做了一些工作(主要是维护现有站点)。 我
我计划开发一个简单的解决方案,使我能够即时执行非常基本的视频流分析。我以前从未做过类似的事情,因此这是一个非常笼统和开放的问题。主要重点是检查流是否正常运行,例如 - 卡住帧、黑屏以及音频是否存在。同
我正在考虑重组一个大型 Maven 项目...... 我们当前结构的基本概述: build [MVN plugins, third party dependency management]:5.1
我需要有关附加查询的建议。该查询执行了一个多小时,并根据解释计划进行了全表扫描。我对查询调优还很陌生,希望得到一些建议。 首先,为什么我要进行全表扫描,即使我使用的所有列都在其上创建了索引。 其次,有
我正在做一个项目,我需要在 4 个模型之间创建三个多对多关系。这是它的过程: 常见问题类别可以有许多常见问题子类别,反之亦然。 常见问题组可以有许多常见问题的子类别,反之亦然。 常见问题可以有许多常见
对于代码大小比语音质量更重要的 PIC 和/或 ARM 嵌入式系统,是否有任何易于使用的免费或廉价的语音合成库?现在似乎 1 meg 的封装被认为是“紧凑的”,但很多微 Controller 都比它小
我们正在使用 Solr 建议器功能进行 businessName 查找。当用户输入查询以及匹配的名称时,我们希望 solr 发送来自个人资料的其他属性,如 id、地址、城市、州、国家等字段。 我尝试使
我正在构建一个用户界面。我的计划将包括 4 个主要部分: 1) 顶部菜单 - TMainMenu。一个窗口的顶部 2) 主菜单 - TTreeView。一个窗口的左边。 TreeView的每一项=对应
我的公司需要一个任务管理系统来处理从“为X购买一台计算机”到“将一个人转移到另一个国家”这样简单的场景。简单的场景是由一个人处理的单个任务,而更大的任务可以分解为在工作流程中委派给多个人的多个子任务。
MarkLogic 服务器的林大小与实际内存的建议比率是多少?例如,我目前有一个 190GB 的数据库,并且该数据库随着时间的推移而不断增长。由于数据库会不断增长,我最终需要对该数据库进行集群。因此,
去年我收到了一个礼物,它是一个索尼 CMT700Ni 音频站,支持 wifi。它还具有类似于广播的功能,称为“PartyStreaming”。我目前正在挖掘内部,探索它,所以也许我可以结束拥有自己的“
有没有我可以阅读的研究论文/书籍可以告诉我针对手头的问题哪种特征选择算法最有效。 我试图简单地将 Twitter 消息识别为 pos/neg(首先)。我从基于频率的特征选择开始(从 NLTK 书开始)
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 要求我们推荐或查找工具、库或最喜欢的场外资源的问题对于 Stack Overflow 来说是偏离主题的,
我正在浏览 stackoverflow 以查找有关使用 jUnit 进行测试的常见建议,但仍然有几个问题。我知道,如果要测试的方法很复杂,最好的方法是将其分成小的单独部分并测试每个部分。但问题是 -
我有一个方法如下 public List> categorize(List customClass){ List> returnValue = new ArrayList<>();
我的问题是,当按照下面的程序合并时,在最佳实践场景中,“将分支折叠回主干”程序的最后一步是正确的方法吗? 我已经使用 svn 很多年了。在我的个人项目中,我总是毫不犹豫地在主干上愉快地进行修改,并且在
我读过 UINavigationController当您想从 n 个屏幕跳转到第一个屏幕时,这是最佳选择。这样做需要以下代码: NSMutableArray *array=[[NSMutableArr
我有一个文件输入类。它在构造函数中有一个字符串参数来加载提供的文件名。但是,如果文件不存在,它就会退出。如果文件不存在,我希望它输出一条消息 - 但不确定如何...... 这是类(class): pu
我希望创建一个“您访问过的国家/地区” map - 就像您可能在 Facebook、TravelAdvisor 和诸如此类的网站上看到的那样。 我尝试过不同的闪光灯套件,但它们并不像我希望的那样先进。
我需要一些关于如何处理我想用 Perl 编写的脚本的建议。基本上我有一个看起来像这样的文件: id: 1 Relationship: "" name: shelby pet: 1
我是一名优秀的程序员,十分优秀!