2020年十大開源免費的WEB應用防火牆

 

2020年十大開源免費的WEB應用防火牆

 

2020年HTTPS加密已經普及，傳統的防火牆檢測功能失效，所以對於網站來說，部署一個WEB應用防火牆十分重要，這方面商業產品很多，開源的也不少，這裏筆者經過大量搜索，整理出十大免費的產品供大家參考。

 

1、HiHTTPS

 

hihttps是一款免費的高性能WEB應用 + MQTT物聯網防火牆，兼容ModSecurity規則並開源。特點是使用超級簡單，就一個約10M的可執行文件，但防護功能一應俱全，包括：漏洞掃描、CC &DDOS、暴力破解、SQL注入、XSS攻擊等。

更重要的是hihttps官方的基於機器學習的商業版本，也是免費的，由機器自動採集樣本無監督學習，自動生成對抗網絡。衆所周知，阿里雲/騰訊雲等WAF非常貴，很多中小企業買不起，可以下載一個免費的hihttps試試。

項目地址：https://github.com/qq4108863/  官網：http://www.hihttps.com

 

2、ModSecurity

ModSecurity最開始是一個Apache的安全模塊，後來發展成爲開源的、跨平臺的WEB應用防火牆。它可以通過檢查WEB服務接收到的數據，以及發送出去的數據來對網站進行安全防護。

最厲害的是著名安全社區OWASP，開發和維護着一套免費的應用程序保護規則，這就是所謂OWASP的ModSecurity的核心規則集(即CRS)，幾乎覆蓋瞭如SQL注入、XSS跨站攻擊腳本、DOS等幾十種常見WEB攻擊方法。

項目地址：https://github.com/SpiderLabs/ModSecurity

 

3、 Naxsi

Naxsi 是一款基於Nginx模塊的防火牆，有自己規則定義，崇尚低規則。項目由C語言編寫，需要熟練掌握Nginx源碼的才能看懂。

項目地址：https://github.com/nbs-system/naxsi

 

4、OpenWAF

 

OpenWAF是基於Nginx_lua API分析HTTP請求信息,由行爲分析引擎和規則引擎兩大功能引擎構成，其中規則引擎主要對單個請求進行分析，行爲分析引擎主要負責跨請求信息追蹤。

規則引擎的啓發來自modsecurity及freewaf(lua-resty-waf)，將ModSecurity的規則機制用lua實現。

基於規則引擎可以進行協議規範，自動工具，注入攻擊，跨站攻擊，信息泄露，異常請求等安全防護，支持動態添加規則，及時修補漏洞。缺點是複雜，不適合不熟悉Nginx和lua語言的開發者。

項目地址：https://github.com/titansec/OpenWAF

 

5、FreeWAF

FeeWAF是一款開源的WEB應用防火牆產品，其命名爲FreeWAF，它工作在應用層，對HTTP進行雙向深層次檢測：對於來自 Internet的 攻擊進行實時防護，避免黑客利用應用層漏洞非法獲取或破壞網站數據，可以有效地抵禦黑客的各種攻擊，如SQL注入攻擊、XSS攻擊、CSRF攻擊、緩衝區 溢出、應用層DOS/DDOS攻擊等；同時，對WEB服務器側響應的出錯信息、惡意內容及不合規格內容進行實時過濾，避免敏感信息泄露，確保網站信息的可靠性。但項目已經很久沒更新了。

6、ESAPI WAF

這是OWASP ESAPI 項目提供的一個開源WAF，基於J2EE實現，其主要利用XML的配置方式驅動防火牆。安裝時，在WEB.xml中將ESAPIWEBApplicationFirewallFilter配置爲filter，在應用程序之前和之後處理輸入和輸入。

 

 

7、unixhot

unixhot是使用Nginx+Lua實現自定義WAF，一句話描述，就是解析HTTP請求（協議解析模塊），規則檢測（規則模塊），做不同的防禦動作（動作模塊），並將防禦過程（日誌模塊）記錄下來，非常簡單。

項目地址：https://github.com/unixhot/waf

 

8、Java WAF

用Java開發的WAF很少，我們發現一個使用Java開發的API Gateway，由於WAF構建在開源代理LittleProxy之上，所以說WAF底層使用的是Netty。功能上支持安全攔截、各種分析檢測、腳本（沙箱）、流控/CC防護等。不會C語言，是Java愛好者的福音。

項目地址：https://github.com/chengdedeng/waf

 

9、X-WAF

X-WAF是一款適用中、小企業的雲WAF系統，讓中、小企業也可以非常方便地擁有自己的免費雲WAF。核心基於openresty + lua開發，waf管理後臺：採用golang + xorm + macrom開發的，支持二進制的形式部署。

項目地址：https://github.com/xsec-lab/x-waf

 

10、VeryNginx 

VeryNginx 也是基於 lua_Nginx_module(openrestry) 開發，實現了高級的防火牆、訪問統計和其他的一些功能。 集成在 Nginx 中運行，擴展了 Nginx 本身的功能，並提供了友好的 WEB 交互界面。

項目地址：https://github.com/alexazhou/VeryNginx/

 

評價：

1、目前商業防火牆基本千篇一律的Nginx模塊，真正有完整源碼的很少，hihttps算一個。

2、傳統的WAF規則已經很難對付未知漏洞和未知攻擊，機器深度學習自動防禦很可能是唯一有效途徑，但真正具有人工智能的WAF還有很長的路。