1、如果Web应用对Internet开放，Web服务器应当置于DMZ区，在Web服务器与Internet之间，Web服务器与内网之间应当有防火墙隔离，并设置合理的策略。

2、如果Web应用对Internet开放，Web服务器应该部署在其专用的服务器上，应避免将数据库服务器或其他核心应用与Web服务器部署在同一台主机上(Web服务器比较容易被攻击，如果数据库或核心应用与Web服务器部署在同一台主机，一旦Web服务器被攻陷，那么数据库和核心应用也就被攻击者掌控了)。

3、Web站点的根目录必须安装在非系统卷中，(Web站点根目录安装在非系统卷，如单独创建一个目录/home/Web作为Web站点根目录，能够防止攻击者使用目录遍历攻击访问系统工具和可执行文件)。

4、部署时应使用最低的系统权限：应保证应用程序工作在低于普通权限的条件下，在运行Web程序时使用高等权限是种错误的做法。Web程序是攻击者目标，成功之后，攻击者获得了相应的系统权限。故不应使用Administrator或者System权限。若应用程序需要高权限运行，可以将其分离出去并运行在限定了通信信道的进程中，然后提高权限。

5、Web服务器与应用服务器需物理分离(即安装在不同的主机上)，以提高应用的安全性。

6、如果Web应用系统存在不同的访问等级(如个人帐号使用、客户服务、管理)，那么应该通过不同的Web服务器来处理来自不同访问等级的请求，而且Web应用应该鉴别请求是否来自正确的Web服务器(这样便于通过防火墙的访问控制策略和Web应用来控制不同访问等级的访问，比如通过防火墙策略控制，只允许内网访问管理Portal)。

7、对于“客户服务”和“管理”类的访问，除了普通的认证，还应该增加额外的访问限制，(额外的访问限制，可以限制请求来自企业内网，可以建立VPN，或采用双向认证的SSL；或采用更简单的办法，通过IP地址白名单对客户端的IP地址进行过滤判断)。

8、首选系统默认安全措施：少的和核心的功能保证稳定并减少了攻击面。

[招生]系统0day安全班，企业级设备固件漏洞挖掘，Linux平台漏洞挖掘！