WAF 是 Web Application Firewall 的缩写,也被称为 Web 应用防火墙。区别于传统防火墙,WAF 工作在应用层,对基于 HTTP/HTTPS 协议的 Web 系统有着更好的防护效果,使其免于受到黑客的攻击。
近几年经济增速开始放缓,科技企业的成本意识有所增强,安全支出更加理性,这使得国内的开源安全项目得到了一定发展,从 github waf 相关 topic 的活跃度来看,排名靠前的国产项目超过了海外项目。
在互联网上公开能找到资料的 WAF 项目少说也有几千个,但其中绝大部分偏实验 Demo 的性质,工程性不足,缺少部署案例,没有经历过大规模流量的验证,实际能称得上产品的项目不到百分之一。翻阅了大量资料,对这几十款 WAF 产品进行实际部署测试后,我选取了其中十个具有代表意义的项目,下文将逐一进行介绍。
评价 WAF 的常用指标
作为网站管理员,应该如何选择一款适合自己的 WAF,以下是几个最常关注的指标
-
防护效果:主要是两个维度,能不能防住攻击,会不会影响普通用户
-
技术先进性:防护引擎的技术竞争力,是否具备对抗高级攻击的能力
-
项目质量:本文将以功能完整性、开源代码质量、文档完整性等角度作为评价依据
-
社区认可度:反映了项目在用户社区中的声誉和影响力,本文将以 GitHub Star 数作为评价依据
-
社区活跃度:是潜力的体现,活跃度越高发展越快,本文将以社区用户的参与度和作者维护项目的积极性作为评价依据
项目清单
先来看综合评分表
项目名称 | 开发者 | 综合评分 |
---|---|---|
ModSecurity | SpiderLabs | ⭐️⭐️⭐️⭐️⭐️ |
雷池社区版 | 长亭科技 | ⭐️⭐️⭐️⭐️ |
coraza | coraza | ⭐️⭐️⭐️⭐️ |
南墙 | 友安科技 | ⭐️⭐️⭐️ |
JANUSEC | JANUSEC | ⭐️⭐️⭐️ |
VeryNginx | loveshell | ⭐️⭐️ |
httpwaf | 闲人 | ⭐️⭐️ |
锦衣盾 | jx-sec | ⭐️ |
NGX_WAF | ADD-SP | ⭐️ |
NAXSI | NBS SYSTEM | ⭐️ |
1.ModSecurity
主页:https://www.modsecurity.org/
ModSecurity 是老牌开源 WAF 引擎,使用群体广,早年只适用于 Apache,在 2.X 重构后目前也可以支持 IIS 和 Ngi