要保护web服务，先要了解web架构，如图9-1所示是web服务的一般性结构图，适用于互联网上的网站，也适用于企业内网上的web应用架构。

1.Web浏览器

用户使用某种Web浏览器，通过网络连接到web服务器上。用户发出请求，Web服务器根据用户请求的URL的地址连接，找到相应的网页文件，发送给用户。用广和服务器对话的官方语言是Http协议。网页文件一般是HTML格式。在Web浏览器通过解释器把这些网页文件解释成图文井茂、丰富多彩的多媒体页面。

2.Web程序

web程以文件的形式单独存放在Web服务器的目录里，如asp文件、php文件、jsp文件等。Web程序可以在开发时指定是在用户端运行，也可以在服务器端运行。一般来说，用户不再看到Web程序的源代码，只能看到html代码。只有服务器管理员，在服务器上才能查看到Web程序的源代码。Web应用程序一般是B/S模式。一般只能在网站上使用。目前很多源代码下载网站免费提供写好的Web程序下载。

3.Web数据库

静态页面一般不经常改动，但网站上很多内容需要经常的更新，如新闻、博客文章、互动游戏等。这些变动的数据放在静态的程序中非常不方便。传统的解决办法是将数据与程序分离，采用专业的数据库来存放数据，需要使用数据时从数据库里调用出来。即在Web服务器后边增加了-个数据库服务器，把经常变化的数据存进数据库服务器中的数据库系统中。当用户请求动态同页时，需要用到动态数据．Web程序用SQL数据岸语言从数据库中读取指定的数据，生成完整页面，最后发送到用户浏览器上。除了各类数据需要变化，每个用户的一些状态信息、属性信息也需要临时记。Web服务器原来是小记录这些信息的。后来Web技术为了实现友好互动，需要记住用户的反馈信自，如实现投票、留言、BBS之类功能需要记录用户登录信息，这些信息是需要写进数据库的。

4.硬件、软件和网络

Web必须存在于网络中。Web正常运行的条件包括计算机硬件、操作系统、计算机网络、相应的应用程序。这些环节都存在这样那样的安全问题，最终威胁到Web的安全。所以说Web的安全体系结构非常复杂，主要包括以下几个方面。

.客户端软件的安全，即Web浏览器软件安全

.使用浏览嚣的客户端PC的安全

.客户端PC所在的局域网安全

.Internet安全

.服务器端的局域网安全

.服务器端的安全．

.服务器端的Web服务器软件安全。

在分析Web服务器的安全性时，要充分考虑上述影响Web服务器安全性的因素。根据木桶效应，Web服务器的安全不能忽视任何因素。总而言之，影响Web安全最关键的因素，主要是Web服务器软件及支撑服务器运行的操作系统的安全。