梭子鱼Web应用防火墙

保护自己免受httpoxy侵害非常简单，您只需采用梭子鱼Web应用防火墙并添加"Header Deny Rule"即可。指定“Proxy”标头信息名，将最大头信息数据长度设为0。这就能阻挡内容不是空字符串的Proxy头信息，防止用户控制您的服务器代理设置。您还可以在网络应用防火墙模块的“网站->允许/拒绝筛选”中添加头"Header Deny Rule"。 由于Proxy标头信息并非标准信息而且是不正当使用，所以您可以在所有地方使用此修复，甚至是没有漏洞的环境，而且不会产生任何不良后果。与寻找漏洞服务器相比（如果有的话），这种方法更为方便快捷；而且保护未来部署的有漏洞的服务器。

一、登陆梭子鱼NG防火墙通过客户端登陆梭子鱼NG防火墙,首先把梭子鱼NG防火墙跟局域网中路由的位置替换,在这里port1端口连接交换机,port4端口连接modern。 1.打开连接软件,输入IP账号密码,登陆梭子鱼NG防火墙,如下图:登陆成功后出现如图界面。以下步骤,每完成一个配置,都要进行测试,成功之后再做下一个配置。 二、创建virtual server 1、在梭子鱼防火墙里，我们首先创建virtual server才能进行配置。 2、单击config->full config 3、进入如下界面 4、右键virtual server->create server->config tree 5、在server name输入服务器名称在first IP里输入管理端口的IP地址默认是port1的IP地址，然后单击OK。 6、新建完成virtual server后出现如图界面。 7、之后，我们还要建立services才能进行下一步的配置 8、右键assigned services选择create service 9、在services name键入服务名称，在sofeware module选择服务类型，选择OK。 10、在这里我们创建了DHCPDNS,HTTP等。

效果如下： 一、TCP端口502漏洞 许多工业系统使用TCP端口502，它允许两个主机建立连接并交换数据流。TCP保证传送数据，并且数据包将以与发送的相同顺序在端口502上传送。这造成远程攻击者通过MODBUS 125功能代码安装任意固件更新到TCP端口502的风险。来自Shodan等服务的扫描可识别具有可能易受攻击的打开TCP端口502的系统。 安全审计公司（如Splone）通过扫描和其他渗透测试技术来识别威胁，提出反措施。扫描返回主机的IP地址，打开端口，国家，供应商，产品和固件信息。 二、保护Modbus通讯协议 停机时间对于工业控制系统（ICS），暖通空调设备和制冷系统来说是非常昂贵的。这种工业物联网（IoT）系统特别脆弱，因为它们部署在工厂，但与外部基于云的IoT服务进行通信。使用多个协议和授权的管理权限增加了安全性问题。 Modbus是1979年由Modicon（现为施耐德电气）发布的串行通信协议，用于与其可编程逻辑控制器（PLC）一起使用。它已经成为一个事实上的标准通信协议，现在是一种常用的连接工业电子设备的手段。Modbus广泛应用于开发工业应用。它很容易部署和移动原始位，几个限制。 Modbus的危险在于当TCP/IP数据包的源IP地址被检查时，它们看起来是无害的。需要的是深层次的检查。工业设备很少具有应用层安全性，所以需要额外的安全性。