随着网络形式逐渐严峻,网络安全成了众多用户面临的主要问题。目前防护网站安全较为简单有效的产品就是web应用防火墙,也就是现在所谓的waf产品,开源waf在网上不多,即便是打着开源旗号的,不少都是只供个人使用,一旦涉及商业还是要付费,或者是购买规则库需要付费,并且有很多waf厂商已经没有继续做,但是产品依然存在,用户辨别难度大,基于此,特此整理了现存的5大开源waf,大家有安全需求的可以使用。
1、ModSecurity
ModSecurity最开始是从一个安全模块发展起来的,逐渐成为开源的web应用防火墙,ModSecurity突出的特点就是核心规则非常多,目前应该有将近3万条左右,功能上具备sql注入、xss防护、ddos防护多常见的几十种攻击。分成window和linux两个版本,安装算是比较简单,但是配置规则难度较大,需要专业技术人员。
2、GOODWAF
GOODWAF是一款真正免费的云waf,基于云端开发的waf主要优点是无需用户安全软件,复杂的配置waf规则,只需要用户添加域名-解析域名地址到waf节点上就能实现网站的安全防护,使用起来简直就是傻瓜操作,电脑小白也能轻松使用。
具备几大主要功能:1.传统防御,如sql、xss、cc、应用层ddos、webshell等攻击的防护,防篡改、盗链、暗链等。
2.主动防护功能,通过后台可以开启防护功能,如源代码加密、js防护、链接隐藏等。
3.数据风控功能,防自动化攻击、防数据泄露、防虚假注册、防薅羊毛等。
4.态势感知功能,对攻击ip、攻击来源、攻击方式、攻击信息进行全方位的监控。
这款GOODWAF还有一个比较好的功能,漏洞扫描功能,能够随时扫描网站存在的漏洞,了解网站目前有哪些潜在危害,及时防护网站安全于未然。
3、sharewaf
国内一款开源的软件waf,应用了众多首创、前卫、先进技术,如:前端WAF、变形元素、JS多态变异、3D实时态势感知等等。多重防控、主动防御、大数据防护、态势感知、人机识别等众多防护技术结合,全面抵御爬虫、自动化攻击、SQL注入、XSS等各类网络攻击。部署起来难度不大,稍微懂些技术的人都能轻松安装。
4、X-WAF
X-WAF是一款适用中、小企业的云WAF系统,让中、小企业也可以非常方便地拥有自己的免费云WAF。核心基于openresty + lua开发,waf管理后台:采用golang + xorm + macrom开发的,支持二进制的形式部署。
5、HiHTTPS
HiHTTPS是一款少有完整源码的高性能WEB应用 + MQTT物联网防火墙,是具备机器学习能力的一款云waf,能够自主AI学习,对抗网络攻击。特点是使用超级简单,就一个约10M的可执行文件,但防护功能一应俱全,包括:漏洞扫描、CC &DDOS、密码破解、SQL注入、XSS攻击等。但是目前个人版本是免费的,只供学习使用,商业版本是需要付费的,有条件的可以试用。
总结:云waf将成为网站安全防护的重要趋势,上述waf经过测试,GOODWAF是基于云waf开发,使用简单,只需要5分钟就能轻松配置,sharewaf是开源免费的waf,技术流可以上手试试。ModSecurity规则库多,但是配置复杂。HiHTTPS文件较小,防护还行,但是商业需要付费。X-WAF后台使用简洁,复杂程度居中。建议中小企业和站长可以使用GOODWAF。