2024年推荐几款开源或免费的web应用防火墙
2023年,数字经济将强势崛起,并且成为新一轮经济发展的动力,传统的黑客破坏性攻击如CC,转为更隐蔽的如0day进行APT渗透。所以无论私有服务器还是云厂商如Cloudflare、阿里云、腾讯云等都把web应用防火墙(WAF)作为网络安全的必配核心保护设施。
市场上99%的商业web应用防火墙(WAF)都是闭源,开源WAF虽多,但能直接实战部署的极少,可以对抗未知攻击的更是极其罕见。笔者搜遍了github和gitee,整理出下面几款能部署的web应用防火墙给大家收藏,一定有用的。
1、HTTPWAF
httpwaf是一款目前极其少有带web管理后台,提供永久免费版本的web应用防火墙。可以直接在生产环境部署的,支持自定义规则和未知攻击检测。优点是使用简单,1分钟就可以完成部署。缺点是:为了安全不联网,升级等只能手动进行。
项目地址:https://github.com/httpwaf/ 或者 :https://gitee.com/httpwaf/
2、ModSecurity
ModSecurity是一个C++语言编写的,开源的、跨平台的Web应用防火墙(WAF),这个项目在2004年就启动了,可谓是WAF界的鼻祖,当初影响力并不大,随着时间的推移,越来越多的web应用需要部署防火墙就火起来了,很多其他WAF产品都或多或少受其影响,就开始来抄他。主要原因是安全社区OWASP很早就开发和维护着一套免费的保护规则,(又称ModSecurity的核心规则集),其优点是:规则对抗已知攻击尚可。缺点是:无法对抗未知攻击,且某些环境误报率很高。
项目地址:https://github.com/SpiderLabs/ModSecurity
3、OpenResty+lua系列
OpenResty是以nginx+lua脚本语言为核心,可以扩展很多第三方模块的web应用服务器,
其中也有很多web应用防火墙的模块,如unixhot、loveshell、openwaf、verynginx等。优点是:lua语言二次编写过滤脚本简单。缺点:底层nginx修改非常复杂,而lua脚本语言,在人工智能算法、智能语义解析上很难和其他语言的生态相比,github上大多是技术研究型的半成品,离商业级的实战产品还需要大量技术和人力投入。
项目地址:https://github.com/openresty/
4、Janusec
Janusec是用go语言原创的Web应用网关,同时提供了WAF功能,拦截SQL注入/XSS/敏感数据泄露/CC防御等。JANUSEC应用网关提供了一个可供用户自行配置规则的基础设施,并预置了常见的Web高危漏洞的拦截规则。与其他WAF相比,JANUSEC应用网关的WAF除了支持传统的单检查点的规则外,还支持多个检查点联动的组合规则,这让防御更加灵活。。
项目地址:https://github.com/Janusec/Application-Gateway
5、AIHTTPS
aihttps是hihttps的升级版,特点是兼容ModSecurity规则,用智能语义解析实现对未知漏洞的发现,并且已经向未知攻击发现方向进化:使用机器学习自主生成对抗规则,来防御包括:恶意扫描、CC
、DDOS、SQL注入、XSS等。其商业版也开源,是目前商业化开源程度最高的web应用防火墙。
项目地址:https://github.com/qq4108863/ 官网:http://www.hihttps.com
总结:
可以确定的是:aihttps等对高级APT未知攻击的检测能力,将成为2023网络安全行业的发展趋势。网络攻防已经上升到国家之间的情报对抗,技术无国界,但网络安全从业者有国界,无论web安全技术如何发展,笔者始终站在祖国的一边。
最后
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。
干货主要有:
①1000+CTF历届题库(主流和经典的应该都有了)
②CTF技术文档(最全中文版)
③项目源码(四五十个有趣且经典的练手项目及源码)
④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)
⑤ 网络安全学习路线图(告别不入流的学习)
⑥ CTF/渗透测试工具镜像文件大全
⑦ 2023密码学/隐身术/PWN技术手册大全
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
扫码领取
708
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
