对外开放网站需要注意什么?
除www服务外,对外开放的、不需要对外提供的服务应使用非标准端口。
敏感服务使用高层端口,使用端口映射对外开放服务。将它们放在防火墙后面。文件共享服务器可以放置在DMZ区域。不要掉以轻心,建立完善的权限管理。
远程访问服务器可以使用远程访问,只对内网开放,使用非标准端口。
公网访问内网需要使用SSL VPN。及时打补丁,关闭不相关端口。
日志记录要详细,任何行为都要详细记录。
对外提供服务时,应使用SSL加密来加密通信,并对API调用进行身份验证。
如果是APP,可以使用ssl-pinning技术。它不信任系统证书,只信任自己颁发的证书。通信过程采用双向加密通信,防止中间人攻击和APP抓包。
对于部署服务后创建的测试用户,应及时禁用或降低其权限,防止测试用户被攻破后,攻击者利用低权限提权获取服务器控制权。
