我正在开发一个系统,其主要关键应该是安全性。 所以我必须考虑最弱的地方,它可能会被打破。 可能首先是暴力和DDOS攻击。 我已经阅读了许多“最佳实践”来对抗它们,我想要做的第一件事就是启用某种动态IP限制。我认为这种问题很受欢迎,IIS(我使用的是IIS 7)会有一些在内核级别阻止恶意请求的内置功能,所以它比编写我自己的asp.ent模块快得多或WCF扩展(我使用WCF服务作为额外的安全层)。
我发现的最好的东西是IIS 7附加'动态IP限制“(http://learn.iis.net/page.aspx/548/using-dynamic-ip-restrictions/?FeaturePage=4FA9C136-25BD-4833-853A-99EAAD0754D2),但是有一个非常烦人的功能缺失部分 - 我无法设置禁止IP地址的时间,我甚至都不知道。我在互联网上看到,在以前的版本上启用了它,我想知道为什么他们在新版本中将其关闭...
无论如何,也许有人知道一个很好的解决方案吗?我会考虑编写自己的内核级模块的选项(我不确定在IIS7集成模式下asp.net托管模块是否是IIS内核模块,它们的生命周期是什么),但有可能从中管理它的设置IIS管理器,就像“动态IP限制”附加组件一样,但最好的选择是现成产品。