常见WAF_WEB应用防火墙_运维必备_应用安全

最新推荐文章于 2024-07-10 16:50:52 发布
最新推荐文章于 2024-07-10 16:50:52 发布
阅读量1k 收藏 2
点赞数 1
分类专栏: 运维 文章标签: waf 服务器安全 应用安全 nginx安全 应用防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yfx000/article/details/111296729
版权

排名无先后,只做汇总统计,方便各位管理服务器安全

Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称: WAF),与传统防火墙不同,WAF工作在应用层,因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。

 

1 ModSecurity

http://www.modsecurity.cn/

ModSecurity是目前世界上使用最多的开源WAF产品,可谓是WAF界的鼻祖,很多其他WAF产品都或多或少受其影响,如OpenWAF

 

2 ShareWAF 

ShareWAF,是一款动态防御WAF(Web应用防火墙)、也是功能强大的下一代WAF。是用于Web安全防护、防止各种网络攻击的网站防护利器。

http://www.sharewaf.com/

 

3 GOODWAF 

免费云WEB应用防火墙,全面防御web/SQL/XSS/0day/爬虫等攻击,具备防篡改,防数据泄露,防盗链等功能,终身免费使用,保护企业web业务安全

https://www.goodwaf.cn/

 

 

4 HiHTTPS

HiHTTPS是一款高性能Web安全SSL防火墙,[开源版提供基础防护功能]  [专业版提供高级防护功能]

https://gitee.com/hihttps/hihttps


 

5 OpenWAF

第一个全方位开源的Web应用防护系统(WAF),更全面的防护功能,更多样的防护策略

https://gitee.com/miracleqi/OpenWAF

 

 

6 OpenRASP (不同于WAF)

https://rasp.baidu.com/

百度安全推出的一款 免费、开源 的应用运行时自我保护产品

OpenRASP 抛弃了传统防火墙依赖请求特征检测攻击的模式,创造性的使用RASP技术(应用运行时自我保护),直接注入到被保护应用的服务中提供函数级别的实时防护,可以在不更新策略以及不升级被保护应用代码的情况下检测/防护未知漏洞,尤其适合大量使用开源组件的互联网应用以及使用第三方集成商开发的金融类应用。

另外,OpenRASP 提供的IAST解决方案,相比于与传统的DAST方案有着革命性提升。漏洞检测无需动态爬虫或者旁路代理,扫描更全面;结合应用探针准确的识别漏洞类型,通过针对性扫描大幅度提升检测效率;商业版新增的动态污点追踪能力,还可以在不扫描的情况下,预判接口是否存在漏洞。

 

7 nginx waf

https://www.cnblogs.com/dotnetcrazy/p/11306202.html

https://www.nginx.com/products/nginx-app-protect/

 

8 其它开源

https://www.oschina.net/project/tag/113/firewall

https://blog.51cto.com/tianshili/1638545

https://blog.csdn.net/corpcorp/article/details/103805425

https://my.oschina.net/u/4587410/blog/4667342

 

9 公安部研究所产品

偶然发现在公安部备案官网左下角有两个免费安全产品

网防G01-网站卫士版(公安部第一研究所开发)

中小网站安全防护(公安部第三研究所开发)

yfx000
关注
专栏目录
[网络安全自学篇] 五十六.i春秋老师分享小白渗透之路及Web渗透技术总结
杨秀璋的专栏
03-05 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文讲解了Windows漏洞利用知识和DEP堆栈执行保护机制,通过构造ROP链来绕过DEP保护,并编写漏洞利用脚本并实现自动化攻击。本文将分析i春秋YOU老师的小白渗透之路,并结合作者系列文章总结Web渗透技术点,非常适合初学者学习,希望对您有所帮助~
网络安全(黑客技术)—2024自学手册
TDJYGC的博客
04-24 832
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
WAF
JPshangdexiaofeixia的博客
01-08 3445
Web应用防护系统又叫做WAF。按照国际公认的说法,Web应用防火墙是通过执行一系列针对HTTP/HTTPS的网站安全策略来专门为Web应用提供保护的一款产品。随着web的内容与应用越来越丰富,信息量与价值量越来越高,web被入侵和篡改的事件和频率也增多。这就需要专门的web防火墙或是防护系统来维护网站的安全WAF可分为许多种,从产品形态上来划分,可以大致分为三类: 1.1硬件设备
常用waf命令
ns-3网络模拟,ns3路由协议仿真
10-24 7061
常用waf命令 一、配置及编译: $ ./waf  configure [option] $ ./waf 帮助:  $ ./waf --help 配置调试,优化调试:   $ ./waf -d  configure : debug,optimized 改变flag:  $ CXXFLAGS="-O3" ./waf configure 或者: $CXX=g++-
常见WAF拦截页面总结
最新发布
YJ_12340的博客
07-10 276
(9) 360主机卫士或360webscan。(24) 长亭SafeLine。(10) 西数WTS-WAF。(3) UPUPW安全防护。(20) 360网站卫士。(21) 奇安信网站卫士。(25) 安恒明御WAF。(4) 宝塔网站防火墙。(22) 安域云WAF。(30) 未知云WAF。(13) 腾讯宙斯盾。(23) 铱讯WAF
常见waf绕过、进程及识别工具
weixin_45106410的博客
12-02 1523
0X00 WAF简介 WAF对于一些常规漏洞(如注入漏洞、XSS漏洞、命令执行漏洞、文件包含漏洞)的检测大多是基于“正则表达式”和“AI+规则”的方法,因此会有一定的概率绕过其防御。绕过waf的测试中,有很多方法可以使用,以下常用方法: 大小写绕过 注释符绕过 编码绕过 分块传输绕过 使用空字节绕过 关键字替换绕过 http协议覆盖绕过 白名单ip绕过 真实ip绕过 Pipline绕过 参数污染 溢出waf绕过 可以把WAF分为四类 云WAF类硬件WAF类软件WAF类网站内置WAF类 云wa
waf
yangzhenzhen的专栏
03-26 824
 https://github.com/loveshell/ngx_lua_waf
等级保护2.0安全架构介绍
wanganjunjun的博客
01-04 3213
等级保护2.0安全架构介绍 等级保护2.0安全架构介绍 基于“动态安全”体系架构设计,构筑“网络+安全”稳固防线“等级保护2.0解决方案”,基于“动态安全”架构,将网络与安全进行融合,以合规为基础,面对用户合规和实际遇到的安全挑战,将场景化安全理念融入其中,为用户提供“一站式”的安全进化。 国家网络安全等级保护工作进入2.0时代 国家《网络安全法》于2017年6月1日正式施行,所有了网络运营者和关...
红队眼中主要的安全防御能力怎样突破
maoguan121的博客
10-13 5484
蓝队作为实战攻防演练中的攻击方,根据队员的不同攻击能力特 点组织攻击团队。队员们在网络攻击各阶段各司其职,采用适当的攻 击手段和攻击策略对目标系统展开网络攻击,最终获取目标网络和系 统的控制权限和数据,检验目标单位的网络安全防护能力。本部分主要站在蓝队的角度,讲述网络实战攻防演练中攻击阶段 的划分、各阶段主要工作内容、攻击中主要使用的技术手段以及攻方 人员必备的技能,最后通过多个实战案例对攻击手段进行了直观展 示。
信息安全工程师第二版考试总结+笔记
热门推荐
IT技术
11-29 2万+
信息安全工程师第二版考试总结+笔记
Sharewaf Web应用防火墙
06-22
sharewaf 的官网www.sharewaf.com已经挂了,打不开了。所以上传以备大家使用。
网络安全 - Web应用防护墙(WAF
问白的博客
04-08 1239
web 服务部署在公网容易受到来自黑客的各种攻击,所以有必要使用WAF来加以保护WAF工作在第七层,是一种根据HTTP请求报文来检测入侵和防御的系统WAF实质上是解析HTTP的请求报文来进行各种模式匹配和数据过滤,所以会消耗一定的CPU,有一定的计算成本。需要我们再安全和性能之间找到一个”平衡点“
WAF网站防火墙
春风化雨
05-29 483
这篇文章内容关键详细介绍WAF的一些基本概念。WAF是专业为维护根据Web程序运行而 设计的,我们科学研究WAF绕开的目地一是协助安服工作人员掌握渗透检测中的检测方法,二是 可以对安全机器设备生产商出示一些安全提议,立即修补WAF存有的安全难题,以提高WAF的完 备性和抗攻击能力。三是期待网站开发人员搞清楚并并不是布署了WAF就可以无忧无虑了,要搞 清楚系统漏洞造成的直接原因,最好是能在代码方面上就将其修补。 一、WAF的界定 WAF(网站web运用服务器防火墙)是根据实行一系列对于H...
[等保测评]Web应用防火墙WAF产品汇总
专注于软件测评业务
01-29 652
WAF可以看成是Web业务抵挡攻击的第一道防线,也是企业安全体系建设的一个重要环节。安全是处于长期动态发展的过程,保持敬畏和进步才能在攻防中争取到主动。
WAF管理,大道至简
jovichan76的博客
10-23 220
在每个SAM的规则部分,我们将重复使用在SRM中创建的所有属性ACL访问规则、所有属性管理的托管规则和所有属性RL费率规则。我们可以指定适用于特定主机名和URL路径的规则- 通过一次配置规则便可在多个应用程序中使用同一规则,节省大量时间- 保护更加灵活,允许您创建和部署自己的自定义规则- 您仍然可以使用以前版本的所有优势,如双WAF模式最后,WAF平台现在是一个独立的解决方案,可以独立于任何其他CDN配置运行。最后,我们有SAM配置的最终视图,显示每个应用程序的访问规则、速率规则和托管规则。
WAFWeb应用防火墙
zengliguang的专栏
04-27 447
WAF,即Web Application Firewall(Web应用防火墙),是一种专门设计用来保护Web应用程序免受各类攻击的安全解决方案,包括但不限于SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF)、文件包含攻击以及拒绝服务(DoS)攻击。总之,Web应用防火墙WAF)作为Web应用程序安全的重要组成部分,通过监控、过滤和阻止潜在恶意流量,为Web应用提供了一道有力的防护屏障,有效抵御各种常见攻击,增强Web应用安全性,满足合规要求,并减轻安全运维压力。
细说——WAF
LainWith的博客
10-11 1万+
目录WAF是什么主流WAF有哪些?WAF的分类软件型WAF硬件型WAF基于云WAF开源型WAF网站内置的WAFIPS与IDS,防火墙WAF之间的比较和差异防火墙功能IPS入侵防御系统IDS入侵检测系统WAF对比IPS与IDS防火墙与IPS / IDSWAF与IPS / IDSWAF检测手工检测工具检测WAFwafw00fsqlmapnmapWAF进程与拦截页面D盾云锁阿里云盾腾讯云安全腾讯宙斯盾360主机卫士奇安信网站卫士网站/服务器安全狗护卫神·入侵防护系统网防G01政府网站综合防护系统(“云锁”升级版
WAF是什么?一篇文章带你全面了解WAF
Innocence_0的博客
04-16 1185
硬件WAF适用于高流量的Web应用程序,软件WAF具有灵活性和易于配置的优点,适用于多种Web应用程序,而云WAF则适用于高可用性和高性能的Web应用程序。WAF可以通过对Web应用程序的流量进行过滤和监控,识别并阻止潜在的安全威胁。WAF可以检测Web应用程序中的各种攻击,例如SQL注入、跨站点脚本攻击(XSS)、跨站请求伪造(CSRF)等,并采取相应的措施,例如拦截请求、阻止访问、记录事件等。您需要确保WAF能够与您的Web服务器应用程序框架集成,并确保WAF能够对您的Web应用程序进行全面的保护。
Web应用防火墙(WAF)技术详解与应用
Web应用防火墙Web Application Firewall,简称WAF)是网络安全领域的重要组成部分,主要用于保护Web应用程序免受恶意攻击和数据泄露。它通过实施一套规则和策略,对HTTP/S流量进行深度检查,识别并阻止潜在的威胁...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yfx000

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值