摘要：在与开发人员就XMLWeb服务的将来谈话的过程中我们得知，他们最大的担心之一就是害怕软件中存在的弱点可能使服务受到不怀好意的用户的攻击。

第1页:保护XMLWeb服务免受黑客攻击 第2页:保护XMLWeb服务免受黑客攻击 第3页:保护XMLWeb服务免受黑客攻击 第4页:保护XMLWeb服务免受黑客攻击 第5页:保护XMLWeb服务免受黑客攻击

　　
　　将路由器配置为仅允许符合要求的访问
　　
　　路由器就是您的防火墙。它可以阻断发送到您计算机的大量不合法的请求。流行的路由器大多都可以将访问限制在特定的TCP端口上，因此您可以只允许从端口80（默认的HTTP端口）传入请求。这可以防止防火墙外的任何人试图连接到您计算机上的其他任何服务。打开其他服务的端口时请务必小心。您可以很方便地从终端服务客户端打开一个端口，连接到您的Web服务器，以便进行远程管理。但随后，任何人都可以通过终端服务器连接尝试连接到您的计算机。即便黑客不知道有效的用户名和密码，也仍然可以通过同时建立只显示登录屏幕的多个会话，来用完您计算机上的大量资源。
　　
　　在筛选掉可能用完您计算机资源的非法数据包时，也需要用到路由器这一重要工具。对于明显存在问题的数据包，只需将它丢弃即可（大多数路由器都会自动执行这一功能）。但是，目前已有许多路由器具有检测诸如TCPSYN包的能力，这些数据包慌称它们是从某个IP地址发送过来的，但实际并非如此。通过启用这种保护措施，可以避免前面在拒绝服务攻击中提到的那些SYN攻击。
　　
　　而且，请记住，防火墙限制只会影响到防火墙处的流量。这似乎是显而易见的事情，但假定您从Internet服务提供商(ISP)处购买了一根T1线，并在您所在的T1线的那一端放置了一个具有安全配置的路由器。如果ISP无法在他们的路由器上启用非法SYN请求检测功能，那么他们的路由器就有可能受到SYN攻击，从而潜在地拒绝对您的T1线另一端的服务，最后结果是有效地切断了对您站点的访问。
　　
　　考虑更复杂的环境，如某个特定连接的两端都放置有多个路由器，由于每个路由器都有可能遭受攻击，因此可能会影响到为您站点的合法用户提供服务。要列出数据包到达您的服务器途中所要经过的路由器，请使用TRACERT.EXE实用工具。
　　
　　配置TCP/IP筛选以限制接受连接的端口如果您没有路由器作为防火墙，或者，如果您由于任何原因无法管理自己的路由器，都可以通过限制您计算机将接收的传入连接种类，有效地使您自己的计算机成为防火墙。在Windows 2000中，单击“开始”按钮，选择“设置”，选择“网络和拨号连接”，用鼠标右键单击连接到Internet上的网卡，然后选择“属性”。选择“Internet协议(TCP/IP)”，单击“属性”按钮，单击“高级”按钮，进入“选项”选项卡。选择“TCP/IP筛选”，然后单击“属性”按钮。将出现如图2所示的一个对话框。您可以在该对话框中限制将接受连接的端口。在如图2所示的示例中，限制了只允许在端口80和443上分别进行HTTP和HTTPS连接。