WebLogic 安全加固

WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。

1.tomcat是web container，是官方指定的jsp&servlet容器，只实现了jsp/servlet的相关规范，不支持EJB.

2.weblogic是将j2ee的应用服务器（web container+EJB container），包括ejb、jsp、servlet、jms等，属于全能型的。

3. WebLogic Server凭借其出色的群集技术，拥有处理关键Web应用系统问题所需的性能、可扩展性和高可用性。WebLogic Server既实现了网页群集，也实现了EJB组件 群集，而且不需要任何专门的硬件或操作系统支持。网页群集可以实现透明的复制、负载平衡以及表示内容容错 。无论是网页群集，还是组件群集，对于电子商务解决方案所要求的可扩展性和可用性都是至关重要的。共享的客户机/服务器和数据库连接以及数据缓存和EJB都增强了性能表现。这是其它Web应用系统所不具备的。所以，在扩展性方面WebLogic是远远超越了Tomcat。

1. 更改weblogic后台用户名密码策略

要求：不使用默认用户密码、弱密码。密码长度最小8位以上，并符合密码复杂要求（密码组成至少存在数字、大小写字母和特殊字符）。

实际操作：

主页 >安全领域概要 >myrealm >用户和组 >myrealm >提供程序 >SystemPasswordValidator>提供程序特定

1. 账号锁定策略

要求：密码重试次数5次，锁定时间30分钟（默认配置）

实际操作：

主页 >安全领域概要 >myrealm >配置>用户封锁

1. 日志审计配置

要求：开启访问日志，按时间滚动，并保留60天

实际操作：

环境> 服务器 > Adminservers > 日志记录

1. Weblogic header 设置

禁用 Send server header （默认禁用）

环境> 服务器 > Adminservers > 协议 > http > 检查是否开启发送服务器标头

禁用 X-Powered-By Hearder

实际操作：

Base_domain> web应用程序 > 修改X-Powered-By Header为“将不发送X-Powered-By Header ” 

1. 限制应用服务器Socket 数量

实际操作：

环境>服务器>Adminservers>配置>优化 修改“最大打开套接字数”，使其不为默认的“-1”

1. 修改默认路径和端口

环境>服务器>Adminservers>配置>一般信息