2024年,随着ChatGPT的强势崛起,人工智能必将改造各行业并且成为新一轮经济发展的动力,所以无论私有服务器还是云厂商如Cloudflare、阿里云、腾讯云等都把web应用防火墙(WAF)向智能化方向发展,并闷声发大财。
但市场上商业web应用防火墙(WAF)基本都是闭源,开源WAF虽多,但能免费部署的极少,笔者花费大量时间整理出下面几款能部署的web应用防火墙给大家参考。
1、EBHTTPS
ebhttps是一款基于eBPF技术的开源web应用防火墙,由国产优秀开源厂商AIHTTPS倾力打造,最大的优点是零配置、不需要导入SSL证书、不中断生产环境等。
eBPF是一项革命性的技术,可以追踪任何应用和内核导出的函数,实现hook效果。ebhttps通过uprobe、kprobe等技术hook OpenSSL的SSL_read、SSL_write函数,直接从内存获取HTTPS明文请求数据做攻击检测。
开源地址:https://github.com/qq4108863/ 或https://hihttps.gitee.io/
2、Nginx系列
Nginx是一款非常优秀的web服务器,也可以用于负载均衡和安全网关,于是很多公司在上面二次开发成web应用防火墙模块,如unixhot、openresty、openwaf、verynginx等。优点是Nginx并非高、速度快。缺点:底层nginx修改非常复杂,在人工智能算法、智能语义解析上实现很难和其他生态相比,github上大多是技术研究型的半成品,离商业级的实战产品还需要大量技术和人力投入。
开源地址https://github.com/nginx/
3、ModSecurity
ModSecurity是WAF界的先驱,历史影响力很大,其专门针对apache和nginx编写由防护模块,并且安全社区OWASP很早就开发和维护着一套免费的保护规则,(又称ModSecurity的核心规则集),其优点是:规则对抗已知漏洞尚可。缺点是:无法对抗未知漏洞,且某些环境误报率很高,在人工智能时代稍微显得有些落伍了。
开源地址:https://github.com/owasp-modsecurity/
4、Cloudflare
Cloudflare是非常良心的CDN加速、内容分发厂商,其很多基础防护功能都是免费的,互联网黑白两道都在大量使用,为各类网站提供基础的安全和保护。
项目地址:https://www.cloudflare.com/
5、HTTPWAF
httpwaf是一款目前极其少有带web管理后台,提供永久免费版本的web应用防火墙。可以直接在生产环境部署的,支持自定义规则和未知漏洞检测。优点是使用简单,1分钟就可以完成部署,非常适合私有化环境。缺点是:为了安全不联网,升级等只能手动进行。
项目地址:https://github.com/httpwaf/ 或者 :https://gitee.com/httpwaf/
总结:
总体来说,2024年网络安全界出现了明显的变化,那就是eBPF技术的应用落地。主要原因是eBPF要求内核版本在4.10以上,也就是存量市场的CentOS7并不支持,但随着今年CentOS7到期停服,像ebhttps这类基于eBPF的web防火墙会越来越多,不需要配置复杂的SSL证书、用户体验也会越来越好,并且一定会向智能化方向发展。