Web服务是指采用B/S架构、通过Http该结构也被称为协议提供服务的总称Web架构，随着Web2.0 的发展导致了数据与服务处理的分离、服务与数据的分布等变化，其交互性能也大大提高。B/S/D由于互联网的快速流行，三层结构。Web部署简单，开发简单，Web网页开发大军迅速超越了以往任何计算机语言的爱好者，普及带来了应用繁荣。J2EE与.NET同归，为Web流行消除了制造商和标准之间的差异；众望所归，SOA选中Web2.0作为实现的基本工具之一(使用最广泛)，Web越来越多的系统架构师选择从互联网到企业内部网络，开发新的业务系统Web结构与熟悉它的人如此广泛是分不开的。

事实再次证明了经典理论：简洁是最受欢迎的。似乎总有一些简单和安全的好像矛盾，浏览器可以直接看到页面Html代码，早期Web服务设计没有太多的安全考虑，人性善良，技术人员总是相信人是善良的！Web2.0广泛使用，Web服务不再仅仅是信息发布、设备交易、日常生活网上购物、政府行政审批、企业资源管理信息价值的诱惑，人们的贪婪开始出现，并不是所有的人都有Web设计者的大同思想安全问题日益突出。2008年网络安全事件统计最多是：SQL注入与网页挂马(木马)。因为这是僵尸网络发展新会员僵尸网络的经济和政治基本工具价值，这里就不用说了。SQL注入与网页挂马主要是针对Web传统的安全产品(UTM/IPS)都有些力不从心。互联网是个人思想展示的天堂，也是世界级的虚拟天堂另一个在社会上，既然每个人都是虚拟的，戴着面具，要成为现实社会的真正利益，还需要一些转化才能兑现，但是SOA把Web结构带入企业内部网络，这里的网络世界是真实的，利益可以直接兑现，Web安全问题迫在眉睫。

要保护Web服务，先要了解Web下图为系统架构Web服务的一般结构图适用于互联网网站和企业网络Web应用架构。

一般用户使用Web浏览器通过访问网络(网站访问是互联网)连接到Web在服务器上。用户发出请求，服务器根据请求URL连接地址，找到相应的网页文件，并将其发送给用户。官方语言是Http。用文本描述网页文件，HTML/Xml格式，在用户浏览器中有一个解释器，将这些文本描述的页面恢复到图形、声音和阴影的视觉页面。

通常，用户需要访问的页面都存在Web在服务器的固定目录下，有一些.html或.xml文件，用户通过页面超连接(其实就是URL地址)可以在网站页面之间跳跃，这是一个静态的网页。后来，人们认为这种方式只能向用户单向显示信息，信息发布也可以，但让用户做身份认证、投票等事情更麻烦，产生了动态网页的概念；所谓的动态是使用flash、Php、asp、Java一些可操作的技术嵌入到网页中小程序，当用户浏览器解释页面时，当他们看到这些小程序时，他们就开始运行它。

小程序的使用非常灵活，可以显示动画(如Flash)，也可以在你的PC在上面生成一个文件，或者接收你输入的信息，这样你就可以根据你想法，定制页面，让你每次来都能看到你上次设计的独特风格，贵宾的感觉每个人都喜欢，更何况在虚拟的网络世界里，你不认识的人对你也是如此。敬仰，服务如此体贴小程序的使用让Web有了服务模式双向交流的能力，Web编辑文件、利息计算、提交表格等各种事务也可以像传统软件一样进行服务模式，Web架构的适用面大大扩大，Web2.0可以成为SOA该架构的实现技术之一小程序功不可没。这些小程序它可以嵌入页面，也可以以文件的形式单独存储Web服务器目录，如.asp、.php、 jsp在开发过程中，文件可以指定是在用户端还是服务器端；用户不再可以看到这些小程序的源代码，服务的安全性也大大提高。这样，越来越多的功能小程序形成共同的工具包并单独管理，Web业务开发时，可以直接使用。这是中间件服务器，实际上是Web扩展服务器处理能力。静态网页与小程序它们都是提前设计的，通常不会经常改变，但网站上的许多内容需要经常更新，如新闻、博客文章、互动游戏等。这些变化的数据显然不适合静态程序。传统的方法是将数据与程序分开，并使用专业的数据库。Web开发者在Web在服务器后面增加了一个数据库服务器，可以随时更新。当用户要求页面时，小程序根据用户要求的页面，使用涉及动态数据的页面SQL从数据中读取最新数据，生成数据库语言完整页面，最后给用户，比如股市曲线，是由一个不断刷新的小程序控制的。

除了需要改变应用数据外，还需要临时记录用户的一些状态信息和属性信息（因为每个用户都不同）Web只要回答你的要求，服务器就不会记录这些信息，人一走茶就凉了。后来Web技术为了友好互动，需要记住建立了一些用户访问信息新通信机制：Cookie：在客户端的硬盘临时文件中存储一些用户参数，如账户名、密码等信息。当用户再次访问该网站时，参数也会一起发送给服务器。服务器知道你是上次来的家伙了。 Session：将用户的一些参数信息存储在服务器的内存中，或者写在服务器的硬盘文件中，用户是看不见的，这样用户在访问不同电脑时就会得到相同的VIP待遇，Web服务器总能记住你的样子，一般情况下，Cookie与Session可结合使用。Cookie在用户端，一般可以加密存储；Session在服务器端，信息集中，被篡改问题将很严重，所以一般放在内存里管理，尽量不存放在硬盘上。

在这里，我们很清楚，Web服务器上有两有两种服务数据清白，一是页面文件(.html、.xml等)，包括动态程序文件(.php、.asp、.jsp等)，一般存在Web在服务器的特定目录或中间服务器上；二是后台数据库，如Oracle、 SQL Server等等，在生成存储数据的动态网页时，管理数据和业务数据。

还有一个问题浏览器给用户电脑带来的安全问题，因为Web本地进程、硬盘操作、木马、病毒可以放在你的电脑上，Web架构中使用沙漏提供安全保护的技术是限制页面小程序本地读写权限，但限制毕竟是必然的工作，因此，在大多数情况下，作提示，让你选择，你经常看到安装程序的过程进入你的电脑，但绝大多数人不知道是否应该，或不允许，导致很多事情不能做 （很多下载和游戏只能看），或者大胆接受，大门敞开，听天由命。这里主要分析服务器端的安全，客户端的安全再行考虑。

从Web从架构上可以看出，Web服务器是必要的门。当你进入大门时，有许多服务器需要保护，如中间服务器、数据库服务器等。我们不考虑网络内部人员的攻击，只考虑接入网络（或互联网）的攻击。入侵者入侵的渠道如下。

服务器系统漏洞：Web毕竟，无论是通用服务器还是服务器Windows，还是Linux/Unix，系统本身的漏洞是必不可少的。通过入侵这些漏洞，您可以获得服务器的高级权限。当然，运行在服务器上Web服务可以随意控制。OS还有 Web服务软件的漏洞，IIS也好，Tomcat同样需要不断补丁。Web服务应用漏洞：如果关注系统级软件漏洞的人太多，那么Web由于应用软件的漏洞数量较多，因此Web服务开发简单，开发团队参差不齐，并非都是专业对于编程不规范、安全意识不强、开发时间短、测试简化等专家来说，应用程序的漏洞也可以让入侵者自由来去。最常见的SQL注入是由于大多数应用程序编程过程中的漏洞。密码暴力破解：漏洞很容易理解，但毕竟，它需要高超的技术水平，但破解密码非常有效和简单。一般来说，账户信息很容易获得，其余的是猜测密码，因为使用复杂的密码很麻烦讨厌大多数用户选择设置易于记忆的密码。Web服务是靠帐号 密码管理用户账户的方式，一旦密码被破解，特别是远程管理者的密码，损坏程度难以想象，攻击难度比漏洞简单得多，不易发现。在著名的网络经济案例中，近一半的密码入侵。入侵者进入Web该系统的动作行为目的非常明确：瘫痪网站：瘫痪网站是中断服务。DDOS攻击可以使网站瘫痪，但对Web服务内部没有损坏，网络入侵可以删除文件，停止流程Web服务器无法完全恢复。一般来说，这种做法是对金钱或恶意竞争的威胁，也可能是为了展示他的高超技能，并以你的网站被攻击为宣传他的工具。篡改网页：修改网站的页面显示相对容易，但也很容易知道攻击效果，对攻击者来说，没有什么实惠好处主要是炫耀自己。当然，对于政府和其他网站来说，形象问题非常严重。挂木马：这种入侵不会直接破坏网站，而是攻击访问网站的用户。挂木马是最大的实惠收集僵尸网络肉鸡，知名网站首页传播木马的速度是爆炸性的。网站管理者很容易发现挂木马，XSS(跨站攻击)是一种新的趋势。

篡改数据：这是最危险的攻击者。篡改网站数据库或动态页面的控制程序表面上没有变化。很难发现这是最常见的经济利益入侵。数据篡改的危害是不可估量的。例如，购物网站可以修改您的账户金额或交易记录，政府审批网站可以修改行政审批结果和企业ERP可以修改销售定单或成交价格 有人说加密协议可以防止入侵，比如https协议，这种说法是不准确的。Web服务面向公众，不能完全使用加密，在企业内部Web服务可以使用，但每个人都是内部人员，加密是共识；其次，加密可以防止他人窃听，但是入侵者可以冒充正规用户，也可以入侵；再者，中间人劫持也可以窃听加密通信。

美好未来首创1对1项目负责制，项目经理专人全程负责。我们为您提供网站建设优化解决方案，互联网品牌建设与网络营销，设计、技术开发、网站和SEO优化行业的技术和数据支持服务、营销推广等服务。为您的企业获取网络流量，挖掘精准客户，达到更高的销售指标。是您的企业提升产品销量最好的伙伴。