Bootstrap

2024年推荐几款开源或免费的web应用防火墙

2024年推荐几款开源或免费的web应用防火墙

2023年,数字经济将强势崛起,并且成为新一轮经济发展的动力,传统的黑客破坏性攻击如CC,转为更隐蔽的如0day进行APT渗透。所以无论私有服务器还是云厂商如Cloudflare、阿里云、腾讯云等都把web应用防火墙(WAF)作为网络安全的必配核心保护设施。
市场上99%的商业web应用防火墙(WAF)都是闭源,开源WAF虽多,但能直接实战部署的极少,可以对抗未知攻击的更是极其罕见。笔者搜遍了github和gitee,整理出下面几款能部署的web应用防火墙给大家收藏,一定有用的。

1、HTTPWAF
httpwaf是一款目前极其少有带web管理后台,提供永久免费版本的web应用防火墙。可以直接在生产环境部署的,支持自定义规则和未知攻击检测。优点是使用简单,1分钟就可以完成部署。缺点是:为了安全不联网,升级等只能手动进行。
项目地址:https://github.com/httpwaf/ 或者 :https://gitee.com/httpwaf/
![在这里插入图片描述](https://img-
blog.csdnimg.cn/ac48d4859b1c4db0b27ad28120c5cd17.png#pic_center)

2、ModSecurity
ModSecurity是一个C++语言编写的,开源的、跨平台的Web应用防火墙(WAF),这个项目在2004年就启动了,可谓是WAF界的鼻祖,当初影响力并不大,随着时间的推移,越来越多的web应用需要部署防火墙就火起来了,很多其他WAF产品都或多或少受其影响,就开始来抄他。主要原因是安全社区OWASP很早就开发和维护着一套免费的保护规则,(又称ModSecurity的核心规则集),其优点是:规则对抗已知攻击尚可。缺点是:无法对抗未知攻击,且某些环境误报率很高。
项目地址:https://github.com/SpiderLabs/ModSecurity

3、OpenResty+lua系列
OpenResty是以nginx+lua脚本语言为核心,可以扩展很多第三方模块的web应用服务器,
其中也有很多web应用防火墙的模块,如unixhot、loveshell、openwaf、verynginx等。优点是:lua语言二次编写过滤脚本简单。缺点:底层nginx修改非常复杂,而lua脚本语言,在人工智能算法、智能语义解析上很难和其他语言的生态相比,github上大多是技术研究型的半成品,离商业级的实战产品还需要大量技术和人力投入。
项目地址:https://github.com/openresty/

4、Janusec
Janusec是用go语言原创的Web应用网关,同时提供了WAF功能,拦截SQL注入/XSS/敏感数据泄露/CC防御等。JANUSEC应用网关提供了一个可供用户自行配置规则的基础设施,并预置了常见的Web高危漏洞的拦截规则。与其他WAF相比,JANUSEC应用网关的WAF除了支持传统的单检查点的规则外,还支持多个检查点联动的组合规则,这让防御更加灵活。。
项目地址:https://github.com/Janusec/Application-Gateway

5、AIHTTPS
aihttps是hihttps的升级版,特点是兼容ModSecurity规则,用智能语义解析实现对未知漏洞的发现,并且已经向未知攻击发现方向进化:使用机器学习自主生成对抗规则,来防御包括:恶意扫描、CC
、DDOS、SQL注入、XSS等。其商业版也开源,是目前商业化开源程度最高的web应用防火墙。
项目地址:https://github.com/qq4108863/ 官网:http://www.hihttps.com

总结:

可以确定的是:aihttps等对高级APT未知攻击的检测能力,将成为2023网络安全行业的发展趋势。网络攻防已经上升到国家之间的情报对抗,技术无国界,但网络安全从业者有国界,无论web安全技术如何发展,笔者始终站在祖国的一边。

最后

从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。

因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。

干货主要有:

①1000+CTF历届题库(主流和经典的应该都有了)

②CTF技术文档(最全中文版)

③项目源码(四五十个有趣且经典的练手项目及源码)

④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)

⑤ 网络安全学习路线图(告别不入流的学习)

⑥ CTF/渗透测试工具镜像文件大全

⑦ 2023密码学/隐身术/PWN技术手册大全

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

扫码领取

;