盘点 2023 十大免费开源 WAF
最新回答
清悠野鹤
2022-02-25 05:54:48
ModSecurity是一款老牌开源WAF引擎,使用群体广泛,早年仅适用于Apache,2.X重构后也支持IIS和Nginx。作为WAF引擎,它需要二次开发才能使用,成本相对较高。不过,它被许多其他开源WAF集成,社区认可度高,防护效果以正则规则为主,覆盖相对全面,但容易被绕过。
雷池社区版是长亭科技根据企业版雷池Web应用防护系统提炼而来,核心检测能力由长亭的智能语义分析算法驱动。项目开源了语义分析算法的核心引擎和安全插件,控制台未开源。优点是防护效果好,项目迭代快,界面清爽好用,但社区版相比企业版功能较少。
Coraza是一款开源、高性能的WAF引擎,使用Go语言编写,支持ModSecurity SecLang规则集,并与OWASP核心规则集完全兼容。与ModSecurity一样,它不提供界面,作为检测引擎,需要二次开发才能使用,有机会成为ModSecurity的替代品。
VeryNginx是一款与Nginx深度集成的WAF扩展程序,提供了控制台,是国产WAF项目中star数最高的项目。然而,该项目年久失修,规则库多年不更新,项目基本停止维护,非常可惜。
NAXSI是一款专为Nginx而生的WAF引擎,输出形态为Nginx动态扩展,编译后修改Nginx配置文件即可生效。它不提供控制台,作为WAF引擎,使用起来相对简单,但使用成本仍较高,检测能力依赖LibInjection项目,只支持SQL注入和XSS检测,不推荐在生产环境使用。
NGX_WAF是一款国产的Nginx扩展类型的WAF引擎项目,它不提供控制台,使用起来相对简单,但相比一体化的WAF项目,使用成本仍然较高。NGX_WAF的核心能力基于LibInjection和ModSecurity,与其他引用第三方开源规则库的WAF项目类似,海外规则库对国内互联网环境适配性不太好,容易误报。
南墙是一款全方位网站防护产品,由有安科技推出,结合了专有的WEB入侵异常检测等技术,但缺点在于不能升级,需要新版本时需要铲掉重装。
JANUSEC是一个开源的Web应用安全网关软件,功能丰富,具备负载均衡、WAF、身份认证、证书管理、堡垒机等功能,但WAF的安全防护能力较弱,只能防护一些简单的攻击,适合对安全防护要求不高的站长。
HTTPWAF自称是一款真正有web管理后台,并且永久免费的web应用防火墙,既支持直接部署在WEB服务器上,又可以独立部署保护后端服务器。作为免费产品,其基础检测能力尚可,但缺乏对抗高强度攻击的能力。
锦衣盾是一款基于OpenResty开发的下一代Web应用防火墙,其独创的业务逻辑防护引擎和机器学习引擎可以有效对业务安全风险进行防护,解决了传统WAF无法对业务安全进行防护的痛点。
热门标签
