2021年十大開源免費的WEB應用防火牆

 

  開源waf是網絡安全的重要部分,Cloudflare認爲:十年後數字經濟的網絡安全基礎設施會像水過濾系統一樣普及,而這個過濾系統的核心就是waf。對於服務器來說,部署WEB應用防火牆十分重要,這方面的開源waf很多,但優秀的太少,筆者經過大量搜索,並結合市場熱度,整理出2021十大開源waf供大家參考

1、OpenResty 
OpenResty 是由中國人章亦春發起,把nginx和各種三方模塊的一個打包而成的軟件平臺,核心就是nginx+lua腳本語言。主要是因爲nginxC語言編寫,修改很複雜,而lua語言則簡單得多,國內很多大公司如360、京東、gitee等都在用來作爲web應用防火牆。

項目地址:https://github.com/openresty/

2、AIHTTPS

aihttpshihttps的升級版,也是由中國人編寫。特點是兼容ModSecurity規則,並且已經向人工智能方向進化:使用機器學習自主生成對抗規則,來防禦包括:漏洞掃描、CC 、DDOS、SQL注入、XSS等。其商業版也開源,是目前商業化開源程度最高的WAF。
項目地址:https://github.com/qq4108863/ 官網:http://www.hihttps.com


3ModSecurity
ModSecurity是開源WAF的鼻祖,是一個開源的跨平臺Web應用程序防火牆(WAF)引擎,用於Apache,IIS和Nginx,由Trustwave的SpiderLabs開發。安全社區OWASP開發和維護着一套免費的應用程序保護規則,這就是所謂OWASP的ModSecurity的核心規則集(即CRS),這套規則很牛,但某些環境誤報率驚人,所謂”成也蕭何,敗也蕭何”。
項目地址:https://github.com/SpiderLabs/ModSecurity

4 Naxsi
Naxsi 是一款基於Nginx模塊的防火牆,有自己規則定義。項目由C語言編寫,需要熟練掌握Nginx源碼的才能看懂,離商業距離非常遠。
項目地址:https://github.com/nbs-system/naxsi

5OpenWAF

OpenWAF是基於Nginx,優點是由行爲分析引擎和規則引擎兩大功能引擎構成,其中規則引擎主要對單個請求進行分析,行爲分析引擎主要負責跨請求信息追蹤。缺點是複雜,不適合不熟悉Nginx和lua語言的開發者。
項目地址:https://github.com/titansec/OpenWAF

6X-WAF
X-WAF核心基於openresty + lua開發,waf管理後臺:採用golang + xorm + macrom開發的,支持二進制的形式部署,適合小企業用。
項目地址:https://github.com/xsec-lab/x-waf

7、unixhot
unixhot是使用Nginx+Lua實現自定義WAF,一句話描述,就是解析HTTP請求(協議解析模塊),規則檢測(規則模塊),做不同的防禦動作(動作模塊),並將防禦過程(日誌模塊)記錄下來,非常簡單。
項目地址:https://github.com/unixhot/waf

8、Java WAF
Java開發的WAF很少,我們發現一個使用Java開發的API Gateway,由於WAF構建在開源代理LittleProxy之上,所以說WAF底層使用的是Netty。功能上支持安全攔截、各種分析檢測、腳本(沙箱)、流控/CC防護等。不會C語言,是Java愛好者的福音。
項目地址:https://github.com/chengdedeng/waf

9VeryNginx
VeryNginx 也是基於 lua_Nginx_module(openrestry) 開發,實現了高級的防火牆、訪問統計和其他的一些功能。 集成在 Nginx 中運行,擴展了 Nginx 本身的功能。
項目地址:https://github.com/alexazhou/VeryNginx/

10FreeWAF
FeeWAF工作在應用層,對HTTP進行雙向深層次檢測:對 Internet進行實時防護,避免利用應用層漏洞非法獲取或破壞網站數據,可以有效地防禦SQL注入、XSS、CSRF、緩衝區溢出、應用層DOS/DDOS等。但項目已經很久沒更新了。

總結
開源不等於免費,開源離商業實戰還差一個孫悟空筋斗雲的距離,這方面AIHTTPS無疑是商業化開源得最徹底的產品。或許如Cloudflare所預料的,WAF成爲數字經濟的基礎實施後,開源waf閃爍着咱中國人的國產之光,在此向所有保護網絡安全的工作者致敬!

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章