对Web应用运行的网络环境进行保护也有一些方法。尽管这些方法的具体细节超出了本书的范围,但方法本身还是比较简单,而且不仅仅是保护Web应用。
16.7.1 安装防火墙
正如需要过滤发送给用PHP编写的Web应用的所有输入,我们还需要过滤所有网络流量,无论这些网络流量是发送给公司办公室还是放置服务器和运行应用的数据中心。
可以通过防火墙实现流量过滤,而防火墙就是运行在特定操作系统上的软件,例如FreeBSD、Linux或Microsoft Windows或者从网络设备供货商处购买的专门设备。防火墙的作用就是过滤不希望的数据流量访问那些不希望被访问的网络部分。
构建互联网的TCP/IP协议是基于端口操作的,不同的端口专门用于不同类型的流量(例如,HTTP的端口是80)。对于内部网络流量,大量端口的使用是非常严格的,很少用来与外部网络的交流。如果禁止在这些端口上发送或接收网络流量,我们可以降低计算机或服务器(以及Web应用)被攻破的风险。