梭子鱼NG防火墙简单配置？

保护自己免受httpoxy侵害非常简单，您只需采用梭子鱼Web应用防火墙并添加"Header Deny Rule"即可。指定“Proxy”标头信息名，将最大头信息数据长度设为0。这就能阻挡内容不是空字符串的Proxy头信息，防止用户控制您的服务器代理设置。您还可以在网络应用防火墙模块的“网站->允许/拒绝筛选”中添加头"Header Deny Rule"。 由于Proxy标头信息并非标准信息而且是不正当使用，所以您可以在所有地方使用此修复，甚至是没有漏洞的环境，而且不会产生任何不良后果。与寻找漏洞服务器相比（如果有的话），这种方法更为方便快捷；而且保护未来部署的有漏洞的服务器。

效果如下： 一、TCP端口502漏洞 许多工业系统使用TCP端口502，它允许两个主机建立连接并交换数据流。TCP保证传送数据，并且数据包将以与发送的相同顺序在端口502上传送。这造成远程攻击者通过MODBUS 125功能代码安装任意固件更新到TCP端口502的风险。来自Shodan等服务的扫描可识别具有可能易受攻击的打开TCP端口502的系统。 安全审计公司（如Splone）通过扫描和其他渗透测试技术来识别威胁，提出反措施。扫描返回主机的IP地址，打开端口，国家，供应商，产品和固件信息。 二、保护Modbus通讯协议 停机时间对于工业控制系统（ICS），暖通空调设备和制冷系统来说是非常昂贵的。这种工业物联网（IoT）系统特别脆弱，因为它们部署在工厂，但与外部基于云的IoT服务进行通信。使用多个协议和授权的管理权限增加了安全性问题。 Modbus是1979年由Modicon（现为施耐德电气）发布的串行通信协议，用于与其可编程逻辑控制器（PLC）一起使用。它已经成为一个事实上的标准通信协议，现在是一种常用的连接工业电子设备的手段。Modbus广泛应用于开发工业应用。它很容易部署和移动原始位，几个限制。 Modbus的危险在于当TCP/IP数据包的源IP地址被检查时，它们看起来是无害的。需要的是深层次的检查。工业设备很少具有应用层安全性，所以需要额外的安全性。