【重新审查防火墙规则】减少WEB应用程序攻击面的最简捷的方法之一就是保证丢弃所有进入WEB服务器群端口的连接。如果你暴露了一个WEB应用，就没有理由在WEB服务器上允许RDP，也没有理由允许ICMP。暴露WEB服务器上的其它TCP/UDP服务可能需要测试或诊断，但除却TCP的80端口或443端口，没有理由允许任何进入的连接到达WEB服务器。安全管理专家应经常检查防火墙的规则的异常情况，特别是如果企业有几个人在管理防火墙，经常审查就尤其重要了。

【强化WEB服务器】脆弱的WEB应用程序会将企业暴露在不必要的风险中。将WEB服务器部署在Linux而非Windows上未必会更安全。配置错误的Apache部署与配置错误的IIS一样脆弱。同样的理论也适用于底层的操作系统。

事实上，如果你仅仅固化WEB服务器自身却没有强化底层的操作系统，那么你就不可能覆盖攻击WEB应用程序的所有漏洞。正如企业应当过滤防火墙上所有不必要的协议一样，移除那些对于WEB应用程序非必需的系统服务也非常重要。

例如，Windows Server 2008的默认部署包含50个正在运行的服务，而Windows Server Core的默认部署仅包含36个服务。虽然IIS会增加少量服务，但是借助用于部署WEB服务器的方法来进行简单优化，就可以极大地减少WEB应用程序的攻击面。当然，在Linux中，禁用一些不必要的正在运行的进程从而强化底层操作系统，也可以达到同样的优化目的。花时间从服务器中清除不必要的服务是改善WEB应用程序安全状况的最简捷步骤。

【经常使用漏洞扫描器】不管企业的变更控制过程如何严格，业务的自然过程(无论是否受到控制)都会产生新漏洞。这些漏洞有可能是防火墙变化的结果，也可能是更新WEB应用程序或底层操作系统、新发现的零日漏洞、错误配置的结果。

新发现漏洞的原因并不重要，因为最重要的问题是能够发现并解决安全问题。不幸的是，你不能依靠某个安全专家甚至不能依靠某个安全团队，去发现WEB应用程序环境中的漏洞。在一个WEB应用程序投入使用时，发现新漏洞的责任最好交给可以主动发现安全问题并在问题发时生发出警告的自动化工具。

没有什么可以替代一个健全的漏洞扫描器，我们也没有理由不去使用这种工具，因为这种扫描器便宜且易于部署。

(责任编辑：)