十大開源 WAF 介紹

2020 年全球爆發新冠疫情重創經濟,5G 和物聯網可能會快速崛起拉動經濟,HTTPS 加密已經普及,傳統的防火牆檢測功能失效,所以對於服務器來說,部署一個 WEB 應用防火牆十分重要,這方面開源 waf 的不少,但優秀的不多,這裏筆者經過大量搜索,整理出十大開源 waf 供大家學習。
**      1、ModSecurity**
   ModSecurity 已經有 10 多年的歷史,最開始是一個 Apache 的安全模塊,後來發展成爲開源的、跨平臺的 WEB 應用防火牆。它可以通過檢查 WEB 服務接收到的數據,以及發送出去的數據來對網站進行安全防護。
最厲害的是著名安全社區 OWASP,開發和維護着一套免費的應用程序保護規則,這就是所謂 OWASP 的 ModSecurity 的核心規則集 (即 CRS),幾乎覆蓋瞭如 SQL 注入、XSS 跨站 *** 腳本、DOS 等幾十種常見 WEB*** 方法。
項目地址:https://github.com/SpiderLabs/ModSecurity

2、HiHTTPS

hihttps 是一款少有完整源碼的高性能 WEB 應用 + MQTT 物聯網防火牆,兼容 ModSecurity 規則並開源。特點是使用超級簡單,就一個約 10M 的可執行文件,但防護功能一應俱全,包括:漏洞掃描、CC &DDOS、密碼破解、SQL 注入、XSS*** 等。
更重要的是 hihttps 基於機器學習的商業版本,也是免費的,由機器自動採集樣本無監督學習,自動生成對抗規則。衆所周知,阿里雲 / 騰訊雲等 WAF 非常貴,很多中小企業買不起,可以下載一個免費的 hihttps 試試。
       項目地址:https://github.com/qq4108863/  

官網:http://www.hihttps.com

3、 Naxsi
Naxsi 是一款基於 Nginx 模塊的防火牆,有自己規則定義,崇尚低規則。項目由 C 語言編寫,需要熟練掌握 Nginx 源碼的才能看懂。
項目地址:https://github.com/nbs-system/naxsi

4、OpenWAF

OpenWAF 是基於 Nginx_lua?API 分析 HTTP 請求信息, 由行爲分析引擎和規則引擎兩大功能引擎構成,其中規則引擎主要對單個請求進行分析,行爲分析引擎主要負責跨請求信息追蹤。
規則引擎的啓發來自 modsecurity 及 freewaf(lua-resty-waf),將 ModSecurity 的規則機制用 lua 實現。
基於規則引擎可以進行協議規範,自動工具,SQL 注入,跨站 ***,信息泄露,異常請求等安全防護,支持動態添加規則,及時修補漏洞。缺點是複雜,不適合不熟悉 Nginx 和 lua 語言的開發者。
項目地址:https://github.com/titansec/OpenWAF

5、FreeWAF
FeeWAF 是一款開源的 WEB 應用防火牆產品,其命名爲 FreeWAF,它工作在應用層,對 HTTP 進行雙向深層次檢測:對 Internet 進行實時防護,避免 *** 利用應用層漏洞非法獲取或破壞網站數據,可以有效地抵禦 *** 的各種 ,如 SQL 注入、XSS、CSRF、緩衝區 溢出、應用層 DOS/DDOS*** 等;同時,對 WEB 服務器側響應的出錯信息、惡意內容及不合規格內容進行實時過濾,避免敏感信息泄露,確保網站信息的可靠性。但項目已經很久沒更新了。

6、ESAPI WAF
這是 OWASP?ESAPI 項目提供的一個開源 WAF,基於 J2EE 實現,其主要利用 XML 的配置方式驅動防火牆。安裝時,在 WEB.xml 中將 ESAPIWEBApplicationFirewallFilter 配置爲 filter,在應用程序之前和之後處理輸入和輸入。

7、unixhot
unixhot 是使用 Nginx+Lua 實現自定義 WAF,一句話描述,就是解析 HTTP 請求(協議解析模塊),規則檢測(規則模塊),做不同的防禦動作(動作模塊),並將防禦過程(日誌模塊)記錄下來,非常簡單。
項目地址:https://github.com/unixhot/waf

8、Java WAF
用 Java 開發的 WAF 很少,我們發現一個使用 Java 開發的 API Gateway,由於 WAF 構建在開源代理 LittleProxy 之上,所以說 WAF 底層使用的是 Netty。功能上支持安全攔截、各種分析檢測、腳本(沙箱)、流控 / CC 防護等。不會 C 語言,是 Java 愛好者的福音。
項目地址:https://github.com/chengdedeng/waf

9、X-WAF
X-WAF 是一款適用中、小企業的雲 WAF 系統,讓中、小企業也可以非常方便地擁有自己的免費雲 WAF。核心基於 openresty + lua 開發,waf 管理後臺:採用 golang + xorm + macrom 開發的,支持二進制的形式部署。
項目地址:https://github.com/xsec-lab/x-waf

10、VeryNginx
VeryNginx 也是基於? lua_Nginx_module(openrestry)? 開發,實現了高級的防火牆、訪問統計和其他的一些功能。集成在 Nginx 中運行,擴展了 Nginx 本身的功能,並提供了友好的 WEB 交互界面。
項目地址:https://github.com/alexazhou/VeryNginx/

評價:
傳統的 WAF 規則已經很難對付未知漏洞和未知 ***,商業 waf 已經從傳統特徵工程轉向機器學習自動防禦,這方面的開源 waf 幾乎沒有,hihttps 是唯一一個免費並且支持機器學習的 waf,未來 WEB 安全必然是 AI 的天下。

本文由 Readfog 進行 AMP 轉碼,版權歸原作者所有。
來源https://mp.weixin.qq.com/s/l39Z4iqLKK_Z474Hp2c0cA