梭子魚NG防火墻簡單配置？

保護自己免受httpoxy侵害非常簡單，您只需采用梭子魚Web應用防火墻并添加"Header Deny Rule"即可。指定“Proxy”標頭信息名，將最大頭信息數據長度設為0。這就能阻擋內容不是空字符串的Proxy頭信息，防止用戶控制您的服務器代理設置。您還可以在網絡應用防火墻模塊的“網站->允許/拒絕篩選”中添加頭"Header Deny Rule"。 由于Proxy標頭信息并非標準信息而且是不正當使用，所以您可以在所有地方使用此修復，甚至是沒有漏洞的環境，而且不會產生任何不良后果。與尋找漏洞服務器相比（如果有的話），這種方法更為方便快捷；而且保護未來部署的有漏洞的服務器。

效果如下： 一、TCP端口502漏洞 許多工業系統使用TCP端口502，它允許兩個主機建立連接并交換數據流。TCP保證傳送數據，并且數據包將以與發送的相同順序在端口502上傳送。這造成遠程攻擊者通過MODBUS 125功能代碼安裝任意固件更新到TCP端口502的風險。來自Shodan等服務的掃描可識別具有可能易受攻擊的打開TCP端口502的系統。 安全審計公司（如Splone）通過掃描和其他滲透測試技術來識別威脅，提出反措施。掃描返回主機的IP地址，打開端口，國家，供應商，產品和固件信息。 二、保護Modbus通訊協議 停機時間對于工業控制系統（ICS），暖通空調設備和制冷系統來說是非常昂貴的。這種工業物聯網（IoT）系統特別脆弱，因為它們部署在工廠，但與外部基于云的IoT服務進行通信。使用多個協議和授權的管理權限增加了安全性問題。 Modbus是1979年由Modicon（現為施耐德電氣）發布的串行通信協議，用于與其可編程邏輯控制器（PLC）一起使用。它已經成為一個事實上的標準通信協議，現在是一種常用的連接工業電子設備的手段。Modbus廣泛應用于開發工業應用。它很容易部署和移動原始位，幾個限制。 Modbus的危險在于當TCP/IP數據包的源IP地址被檢查時，它們看起來是無害的。需要的是深層次的檢查。工業設備很少具有應用層安全性，所以需要額外的安全性。