《网络安全法》第二十一条 规定“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改”。
考虑到国家网络安全政策要求以及网站受到攻击后的损失远远超过保护的成本。各行业以及各种规模的企业机构都应该加强站点防护,积极防御网络攻击,所以对于网站来说,部署一个WEB应用防火墙(云WAF)十分重要,这方面商业产品很多,开源的也不少,这里经过大量搜索,整理出几款免费的产品供大家参考。
1. ModSecurity
特点:ModSecurity是一款历史悠久的开源WAF引擎,使用C++编写,支持Apache、IIS和Nginx等多种服务器。它以正则规则为主,覆盖全面但易被绕过。ModSecurity在开源社区认可度高,被众多项目集成。
防护效果:基础检测效果不错,但规则对国内环境不友好,容易误报。
2. Coraza
特点:Coraza是一个开源、高性能的WAF引擎,使用Go语言编写,支持ModSecurity SecLang规则集和OWASP核心规则集。
防护效果:基础检测能力尚可,但缺少对非通用漏洞的防护规则。
3. VeryNginx
特点:VeryNginx是与Nginx深度集成的WAF扩展程序,提供了控制台,方便管理。
防护效果:规则简单,具备基础防护能力,但规则库多年未更新。
4. GoodWAF
特点:国产WAF。结合人工智能机器学习技术、通过灵活的部署方式,构建积极防御安全模型。阻挡诸如SQL注入或跨站脚本等常见攻击,避免这些攻击影响Web应用程序的可用性、安全性或过度消耗资源,降低数据被篡改、失窃的风险。实时拦截包括0day和已知攻击在内的不可信流量,保护关键业务的Web应用。
防护效果:预置丰富的攻击特征签名库,可检绝大部分通用Web攻击特征。语义+正则+AI(人工智能)三引擎架构,大幅提升威胁检出率。
扫一扫
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
