2022年,隨着cov-19改變人類的商業溝通方式和Log4j肆虐全球數字經濟,WEB應用防火牆(WAF)作爲網絡安全的核心保護設施,越來越受到重視,無論硬件安全還是雲安全廠商如Cloudflare、阿里雲、騰訊雲等,都在利用商業WAF悶聲發大財。但99%的商業WAF都是閉源的,市場上原創的開源WAF不多,可以用於實戰部署的免費WAF更是極其罕見。筆者經過大量搜索,並結合市場熱度,整理出下面幾款原創的開源或免費的WAF給大家。
1、HTTPWAF
httpwaf是一款真正有優秀的web管理後臺,並且永久免費的web應用防火牆,既支持直接部署在WEB服務器上,又可以獨立部署保護後端服務器,並且支持HTTP 2.0,是目前市場上極其少有的可用於生產環境的免費WAF。優點是使用簡單,linux上1分鐘就可以完成部署。缺點是:開發團隊聲明爲了安全不聯網,規則升級等只能手動進行。
項目地址:https://github.com/httpwaf/ 或者 :https://gitee.com/httpwaf/
2、OpenResty系列
OpenResty 是由中國人章亦春發起,把nginx和各種三方模塊的一個打包而成的軟件平臺,本質上核心就是nginx+lua腳本語言。Github上有很多基於OpenResty的WEB應用防火牆,我們統稱OpenResty系列吧,如unixhot、loveshell、openwaf、verynginx等。優點是:速度快,lua語言編寫過濾腳本簡單。缺點:nginx是C語言編寫,二次修改技術很複雜,很多都是商業收費的,網上幾乎沒有完整現成可以直接生產環境部署的產品。
項目地址:https://github.com/openresty/
3、ModSecurity
ModSecurity是開源WAF的鼻祖,是一個開源的跨平臺Web應用程序防火牆(WAF)引擎,用於Apache,IIS和Nginx,由Trustwave的SpiderLabs開發。安全社區OWASP開發和維護着一套免費的應用程序保護規則,這就是所謂OWASP的ModSecurity的核心規則集(即CRS),這套規則很牛,但某些環境誤報率驚人。
項目地址:https://github.com/SpiderLabs/ModSecurity
4、Shieldon
Shieldon是用PHP原創的Web應用程序防火牆(WAF),具有美觀實用的控制面板,可幫助您輕鬆管理防火牆規則和安全設置。主要用於緩解DDOS和爬蟲,同時提供反爬和在線會話控制等功能。優點是:專家級的 PHP 開發者10分鐘就能部署,也易於二次開發。缺點是:速度慢,不能像其他C語言寫的防火牆有巨大的併發連接。
項目地址:https://github.com/terrylinooo/shieldon
5、AIHTTPS
aihttps是hihttps的升級版,特點是兼容ModSecurity規則,並且已經向人工智能方向進化:使用機器學習自主生成對抗規則,來防禦包括:惡意掃描、CC 、DDOS、SQL注入、XSS等。其商業版也開源,是目前商業化開源程度最高的WAF。
項目地址:https://github.com/qq4108863/ 官網:http://www.hihttps.com
總結:
網上開源WAF距離產品化還很遠,不能實戰部署,免費的又不開源,這方面AIHTTPS無疑是二者皆備,是商業化開源得最徹底的產品。或許如Cloudflare所預料的,WAF一定會成爲數字經濟的核心基礎安全實施的。