2024年,隨着ChatGPT的強勢崛起,人工智能必將改造各行業並且成爲新一輪經濟發展的動力,所以無論私有服務器還是雲廠商如Cloudflare、阿里雲、騰訊雲等都把web應用防火牆(WAF)向智能化方向發展,並悶聲發大財。
但市場上商業web應用防火牆(WAF)基本都是閉源,開源WAF雖多,但能免費部署的極少,筆者花費大量時間整理出下面幾款能部署的web應用防火牆給大家參考。
1、EBHTTPS
ebhttps是一款基於eBPF技術的開源web應用防火牆,由國產優秀開源廠商AIHTTPS傾力打造,最大的優點是零配置、不需要導入SSL證書、不中斷生產環境等。
eBPF是一項革命性的技術,可以追蹤任何應用和內核導出的函數,實現hook效果。ebhttps通過uprobe、kprobe等技術hook OpenSSL的SSL_read、SSL_write函數,直接從內存獲取HTTPS明文請求數據做攻擊檢測。
開源地址:https://github.com/qq4108863/ 或https://hihttps.gitee.io/
2、Nginx系列
Nginx是一款非常優秀的web服務器,也可以用於負載均衡和安全網關,於是很多公司在上面二次開發成web應用防火牆模塊,如unixhot、openresty、openwaf、verynginx等。優點是Nginx並非高、速度快。缺點:底層nginx修改非常複雜,在人工智能算法、智能語義解析上實現很難和其他生態相比,github上大多是技術研究型的半成品,離商業級的實戰產品還需要大量技術和人力投入。
開源地址https://github.com/nginx/
3、ModSecurity
ModSecurity是WAF界的先驅,歷史影響力很大,其專門針對apache和nginx編寫由防護模塊,並且安全社區OWASP很早就開發和維護着一套免費的保護規則,(又稱ModSecurity的核心規則集),其優點是:規則對抗已知漏洞尚可。缺點是:無法對抗未知漏洞,且某些環境誤報率很高,在人工智能時代稍微顯得有些落伍了。
開源地址:https://github.com/owasp-modsecurity/
4、Cloudflare
Cloudflare是非常良心的CDN加速、內容分發廠商,其很多基礎防護功能都是免費的,互聯網黑白兩道都在大量使用,爲各類網站提供基礎的安全和保護。
項目地址:https://www.cloudflare.com/
5、HTTPWAF
httpwaf是一款目前極其少有帶web管理後臺,提供永久免費版本的web應用防火牆。可以直接在生產環境部署的,支持自定義規則和未知漏洞檢測。優點是使用簡單,1分鐘就可以完成部署,非常適合私有化環境。缺點是:爲了安全不聯網,升級等只能手動進行。
項目地址:https://github.com/httpwaf/ 或者 :https://gitee.com/httpwaf/
總結:
總體來說,2024年網絡安全界出現了明顯的變化,那就是eBPF技術的應用落地。主要原因是eBPF要求內核版本在4.10以上,也就是存量市場的CentOS7並不支持,但隨着今年CentOS7到期停服,像ebhttps這類基於eBPF的web防火牆會越來越多,不需要配置複雜的SSL證書、用戶體驗也會越來越好,並且一定會向智能化方向發展。