2022年五大免费或开源waf

2022年，随着新冠改变人类的商业沟通方式和Log4j漏洞肆虐全球数字经济，WEB应用防火墙（WAF）作为网络安全的核心保护设施，越来越受到重视，无论硬件安全还是云安全厂商如Cloudflare、阿里云、腾讯云等，都在利用商业WAF闷声发大财。但99%的商业WAF都是闭源的，市场上原创的开源WAF不多，可以用于实战部署的免费WAF更是极其罕见。笔者经过大量搜索，并结合市场热度，整理出下面几款原创的开源或免费的WAF给大家。

1、HTTPWAF

httpwaf是一款真正有web管理后台，并且永久免费的web应用防火墙，既支持直接部署在WEB服务器上，又可以独立部署保护后端服务器，并且支持HTTP 2.0，是目前市场上极其少有的可用于生产环境的免费WAF。优点是使用简单，linux上1分钟就可以完成部署，所有功能由我们自己掌控。缺点是：开发团队声明为了安全不联网，规则升级等只能手动进行。

项目地址：https://github.com/httpwaf/ 或者 ：https://gitee.com/httpwaf/

2、OpenResty系列

OpenResty 是由中国人章亦春发起，把nginx和各种三方模块的一个打包而成的软件平台，本质上核心就是nginx+lua脚本语言。Github上有很多基于OpenResty的WEB应用防火墙，我们统称OpenResty系列吧，如unixhot、loveshell、openwaf、verynginx等。优点是：速度快，lua语言编写过滤脚本简单。缺点：nginx是C语言编写，二次修改技术很复杂，很多都是商业收费的，网上几乎没有完整现成可实战部署的产品。

项目地址：https://github.com/openresty/

3、ModSecurity

ModSecurity是开源WAF的鼻祖，是一个开源的跨平台Web应用程序防火墙（WAF）引擎，用于Apache，IIS和Nginx，由Trustwave的SpiderLabs开发。安全社区OWASP开发和维护着一套免费的应用程序保护规则，这就是所谓OWASP的ModSecurity的核心规则集(即CRS)，这套规则很牛，但某些环境误报率惊人。

项目地址：https://github.com/SpiderLabs/ModSecurity

4、Shieldon

Shieldon是用PHP原创的Web应用程序防火墙（WAF），具有美观实用的控制面板，可帮助您轻松管理防火墙规则和安全设置。主要用于缓解DDOS和爬虫，同时提供反爬和在线会话控制等功能。优点是：专家级的 PHP 开发者10分钟就能部署，也易于二次开发。缺点是：速度慢，不能像其他C语言写的防火墙有巨大的并发连接。

项目地址：https://github.com/terrylinooo/shieldon

5、GOODWAF

这是一款国内开发的免费WAF产品，具备以下几大功能：

常见攻击防护：

针对常见的建站程序可能出现的ASP木马、JSP木马、PHP木马、一句话木马等多种形式的WEBShell后门木马漏洞攻击、木马文件上传防护。

防止系统命令注入、目录遍历、恶意扫描行为，避免被黑客进行系统命令执行，文件提权等操作。

畸形报文过滤、HTTP标准RFC检查，有效防止报文头缺失、请求方法限制、协议违规等访问行为导致的应用程序崩溃等问题。

业务安全防护：

云防护不仅可以针对web应用程序自身的漏洞攻击进行防护，还对所有访问行为进行多维度分解。确保网站程序安全性和最终用户权益不受侵害。

防盗链避免网站被盗链导致的用户流量流失，机构权威信誉度下降。

识别和阻断SQL注入攻击、Cookie注入攻击、命令注入、会话劫持跨站脚本攻击、文件包含攻击、LDAP注入、XPATH注入、爬虫攻击、Struts2命令执行攻击等常见的WEB攻击。

登录接口设置访问频次，减小、阻断密码爆破行为发生。

拦截恶意爬虫，防止数据泄露，减轻网站性能压力。

态势感知：

可视化实时攻防态势图，发现网站威胁，进行邮箱、微信多维度告警推送。可用性、攻击次数统计分析告警推送，随时追踪网站攻击情况。弥补本地设备无法有效进行溯源分析痛点。

数据报表查看功能：

专业的周报、月报，提供运营分析数据、DDoS攻击防护、CC攻击防护、Web攻击防护报表以及网站运行业务质量的监控。

黑白名单功能：

黑名单（ip黑名单）（ip白名单）、白名单（url加白）功能。

DNS加速功能（压缩视频、图片的形式）

智能DNS服务优化用户访问链路，加速网络传输，提高用户访问体验，增强权威性。

静态资源缓存到云节点，提高网站下发速度，减轻源站压力。

TCP协议优化、智能压缩技术，加速传输速度，提升网站访问速度。