WAF 是 Web Application Firewall 的缩写,用于保护 Web 应用免受黑客攻击。根据防护效果、技术先进性、项目质量、社区认可度和活跃度等指标,我整理了以下十款免费 / 开源的 WAF 项目:
-
ModSecurity:老牌开源 WAF 引擎,防护效果好,但规则对国内环境不友好。
-
雷池社区版:防护效果好,使用智能语义分析算法,但功能相对企业版较少。
-
Coraza:使用 Go 语言编写的高性能 WAF 引擎,与 ModSecurity 兼容,但缺少非通用漏洞的防护规则。
-
南墙:由有安科技开发的全方位网站防护产品,对常见攻击检测效果不错,但缺少对非通用漏洞的防护规则。
-
JANUSEC:功能丰富的 Web 应用安全网关软件,具备负载均衡、WAF 等功能。
-
VeryNginx:与 Nginx 深度集成的 WAF 扩展,提供控制台,但项目已停止维护,规则库过时。
-
httpwaf:基于 Nginx 的 Web 应用防火墙,防护能力一般,规则库较少。
-
锦衣盾:简单的 Nginx 扩展类型的 WAF 引擎,防护能力有限。
-
NGX_WAF:基于 LibInjection 和 ModSecurity 的 Nginx 扩展类型的 WAF 引擎,缺少针对非通用性漏洞的规则。
-
NAXSI:专为 Nginx 而生的 WAF 引擎,只支持 SQL 注入和 XSS 检测,不推荐在线上使用。
这些项目各有优劣,根据实际需求和环境选择适合的 WAF 是很重要的。