HeroM2 - HeroM2英雄连击引擎

查看: 1053|回复: 0

2022年五大免费或开源WAF防火墙

[复制链接]

208

主题

11

回帖

1139

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
1139
发表于 2022-6-16 22:16:12 | 显示全部楼层 |阅读模式 IP:江苏徐州
2022年,随着新冠改变人类的商业沟通方式和Log4j漏洞肆虐全球数字经济,WEB应用防火墙(WAF)作为网络安全的核心保护设施,越来越受到重视,无论硬件安全还是云安全厂商如Cloudflare、阿里云、腾讯云等,都在利用商业WAF闷声发大财。但99%的商业WAF都是闭源的,市场上原创的开源WAF不多,可以用于实战部署的免费WAF更是极其罕见。笔者经过大量搜索,并结合市场热度,整理出下面几款原创的开源或免费的WAF给大家。
1、HTTPWAF
httpwaf是一款真正有web管理后台,并且永久免费的web应用防火墙,既支持直接部署在WEB服务器上,又可以独立部署保护后端服务器,并且支持HTTP 2.0,是目前市场上极其少有的可用于生产环境的免费WAF。优点是使用简单,linux上1分钟就可以完成部署,所有功能由我们自己掌控。缺点是:开发团队声明为了安全不联网,规则升级等只能手动进行。

2、OpenResty系列
OpenResty 是由中国人章亦春发起,把nginx和各种三方模块的一个打包而成的软件平台,本质上核心就是nginx+lua脚本语言。Github上有很多基于OpenResty的WEB应用防火墙,我们统称OpenResty系列吧,如unixhot、loveshell、openwaf、verynginx等。优点是:速度快,lua语言编写过滤脚本简单。缺点:nginx是C语言编写,二次修改技术很复杂,很多都是商业收费的,网上几乎没有完整现成可实战部署的产品。
3、ModSecurity
ModSecurity是开源WAF的鼻祖,是一个开源的跨平台Web应用程序防火墙(WAF)引擎,用于Apache,IIS和Nginx,由Trustwave的SpiderLabs开发。安全社区OWASP开发和维护着一套免费的应用程序保护规则,这就是所谓OWASP的ModSecurity的核心规则集(即CRS),这套规则很牛,但某些环境误报率惊人。
项目地址:https://github.com/SpiderLabs/ModSecurity
4、Shieldon
Shieldon是用PHP原创的Web应用程序防火墙(WAF),具有美观实用的控制面板,可帮助您轻松管理防火墙规则和安全设置。主要用于缓解DDOS和爬虫,同时提供反爬和在线会话控制等功能。优点是:专家级的 PHP 开发者10分钟就能部署,也易于二次开发。缺点是:速度慢,不能像其他C语言写的防火墙有巨大的并发连接。
5、AIHTTPS
aihttps是hihttps的升级版,特点是兼容ModSecurity规则,并且已经向人工智能方向进化:使用机器学习自主生成对抗规则,来防御包括:恶意扫描、CC 、DDOS、SQL注入、XSS等。其商业版也开源的,是目前商业化开源程度最高的WAF。
项目地址:https://github.com/qq4108863/ 官网:http://www.hihttps.com
总结:
网上的绝大多数开源WAF距离产品化还很远,不能实战部署,免费的又不开源,这方面AIHTTPS无疑是二者皆备,是商业化开源得最彻底的产品。或许如Cloudflare所预料的,WAF一定会成为数字经济的核心基础安全实施的。
v2-2d6b68e68b3d7d61fa88bb3a80347bc6_720w.jpg
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|HeroM2连击引擎

GMT+8, 2024-12-23 06:22 , Processed in 0.070348 second(s), 23 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表