狠狠色丁香婷婷综合尤物/久久精品综合一区二区三区/中国有色金属学报/国产日韩欧美在线观看 - 国产一区二区三区四区五区tv

LOGO OA教程 ERP教程 模切知識交流 PMS教程 CRM教程 開發文檔 其他文檔  
 
網站管理員

[點晴永久免費OA]盤點2023年十大免費開源 WAF(WEB應用程序防火墻)

admin
2024年7月5日 17:53 本文熱度 1478

WAF 是 Web Application Firewall 的縮寫,也被稱為 Web 應用防火墻。區別于傳統防火墻,WAF 工作在應用層,對基于 HTTP/HTTPS 協議的 Web 系統有著更好的防護效果,使其免于受到黑客的攻擊。

近幾年經濟增速開始放緩,科技企業的成本意識有所增強,安全支出更加理性,這使得國內的開源安全項目得到了一定發展,從 github waf 相關 topic 的活躍度來看,排名靠前的國產項目超過了海外項目。

在互聯網上公開能找到資料的 WAF 項目少說也有幾千個,但其中絕大部分偏實驗 Demo 的性質,工程性不足,缺少部署案例,沒有經歷過大規模流量的驗證,實際能稱得上產品的項目不到百分之一。翻閱了大量資料,對這幾十款 WAF 產品進行實際部署測試后,我選取了其中十個具有代表意義的項目,下文將逐一進行介紹。

評價 WAF 的常用指標

作為網站管理員,應該如何選擇一款適合自己的 WAF,以下是幾個最常關注的指標

  • 防護效果:主要是兩個維度,能不能防住攻擊,會不會影響普通用戶

  • 技術先進性:防護引擎的技術競爭力,是否具備對抗高級攻擊的能力

  • 項目質量:本文將以功能完整性、開源代碼質量、文檔完整性等角度作為評價依據

  • 社區認可度:反映了項目在用戶社區中的聲譽和影響力,本文將以 GitHub Star 數作為評價依據

  • 社區活躍度:是潛力的體現,活躍度越高發展越快,本文將以社區用戶的參與度和作者維護項目的積極性作為評價依據

項目清單

先來看綜合評分表

項目名稱開發者綜合評分
ModSecuritySpiderLabs⭐️⭐️⭐️⭐️⭐️
雷池社區版長亭科技⭐️⭐️⭐️⭐️
corazacoraza⭐️⭐️⭐️⭐️
南墻友安科技⭐️⭐️⭐️
JANUSECJANUSEC⭐️⭐️⭐️
VeryNginxloveshell⭐️⭐️
httpwaf閑人⭐️⭐️
錦衣盾jx-sec⭐️
NGX_WAFADD-SP⭐️
NAXSINBS SYSTEM⭐️

ModSecurity

主頁:https://www.modsecurity.org/

ModSecurity 是老牌開源 WAF 引擎,使用群體廣,早年只適用于 Apache,在 2.X 重構后目前也可以支持 IIS 和 Nginx。作為 WAF 引擎,相比一體化的 WAF 項目,需要二次開發才能試用,對使用者來說成本略高。ModSecurity 被不少其他開源 WAF 作為核心引擎所集成,在開源社區認可度高,實際防護以正則規則為主,覆蓋相對全面,但容易被繞過,前段時間被母公司拋棄了,未來是否會繼續維護下去暫未可知。

  • 防護效果:基礎檢測效果不錯,但是規則對國內的環境不友好,容易誤報

  • 技術先進性:雖然沒有高級對抗能力,但在技術圈認可度高,被眾多開源項目集成,生態即技術壁壘

  • 項目質量:無控制臺,項目完全開源,文檔豐富

  • 社區認可度:6400 star,是目前全球 star 數最高的 WAF 項目

  • 社區活躍度:持續有更新,近一年更新過 3 個版本

雷池社區版

主頁:https://waf-ce.chaitin.cn/

雷池社區版是長亭科技根據企業版雷池 Web 應用防護系統提煉而來,核心檢測能力由長亭首創的智能語義分析算法驅動。項目開源了語義分析算法的核心引擎和相關安全插件,控制臺未開源。優點在于防護效果好,項目迭代快,界面清爽好用,缺點在于社區版相比企業版功能較少,但能滿足 WAF 的基本需求。

  • 防護效果:對通用漏洞和非通用漏洞的防護效果都不錯,誤報少

  • 技術先進性:核心技術是語義分析算法,相比正則規則的可對抗性更高、性能更好

  • 項目質量:具備 WAF 各項基礎能力,項目未完全開源,文檔相對完善

  • 社區認可度:1500 star,裝機量 4000+

  • 社區活躍度:持續有更新,近一年更新過 15 個版本

Coraza

主頁:https://coraza.io/

Coraza 是一個開源、高性能的 WAF 引擎,使用 Go 語言編寫,支持 ModSecurity SecLang 規則集,并且與 OWASP 核心規則集完全兼容,與 ModSecurity 一樣不提供界面,只作為檢測引擎,需要二次開發才能試用,有機會成為 ModSecurity 的替代品。

  • 防護效果:基礎檢測能力尚可,缺少對于非通用漏洞的防護規則,容易誤報

  • 技術先進性:檢測規則依賴 LibInjection、ModSecurity、OWASP 項目

  • 項目質量:無控制臺,項目完全開源,文檔豐富

  • 社區認可度:1200 Star

  • 社區活躍度:持續有更新,近一年更新過 4 個版本

VeryNginx

主頁:https://github.com/alexazhou/VeryNginx

VeryNginx 是一款與 Nginx 深度集成的 WAF 擴展程序,相比其他 Nginx 擴展,VeryNginx 是為數不多提供了控制臺的 WAF 項目。VeryNginx 沒有提供核心檢測引擎,規則部分依賴第三方庫。VeryNginx 在 github 有 5900 star,是國產 WAF 項目中 star 數最高的項目,最大的問題是該項目年久失修,規則庫也多年不更新,項目基本停止維護,非常可惜。

  • 防護效果:規則簡單,具備基礎防護能力,但有點過時,規則庫 7 年未更新過

  • 技術先進性:檢測規則以來第三方的 ngx_lua_waf 項目

  • 項目質量:具備 WAF 各項基礎能力,項目完全開源,文檔相對完善

  • 社區認可度:5900 Star

  • 社區活躍度:4 年未更新

NAXSI

主頁:https://github.com/nbs-system/naxsi

NAXSI 是一款專為 Nginx 而生的 WAF 引擎,輸出形態是 Nginx 動態擴展,編譯后修改 Nginx 配置文件即可生效。NAXSI 不提供控制臺,作為 WAF 引擎,用起來沒有 ModSecurity 那么麻煩,但相比一體化的 WAF 項目使用成本任然較高。檢測能力依賴 LibInjection 項目,只支持 SQL 注入和 XSS 檢測,不推薦在線上使用。

  • 防護效果:對通用漏洞的檢出率比較高,但誤報也高的離譜,僅支持 SQL 注入和 XSS 檢測

  • 技術先進性:核心能力依賴了 LibInjection 項目

  • 項目質量:無控制臺,項目完全開源,文檔豐富

  • 社區認可度:4300 Star

  • 社區活躍度:偶爾有更新,基本不維護

NGX_WAF

主頁:https://github.com/ADD-SP/ngx_waf

NGX_WAF 是一款國產的 Nginx 擴展類型的 WAF 引擎項目(這類的項目真多)。NGX_WAF 不提供控制臺,作為 WAF 引擎,用起來沒有 ModSecurity 那么麻煩,但相比一體化的 WAF 項目使用成本任然較高。NGX_WAF 的核心能力基于 LibInjection 和 ModSecurity,和其他引用了第三方開源規則庫的 WAF 項目相同,海外規則庫對國內互聯網環境適配性不太好,容易誤報,缺少針對非通用性漏洞的規則。

  • 防護效果:基礎檢測能力尚可,缺少對于非通用漏洞的防護規則,容易誤報

  • 技術先進性:檢測規則依賴 LibInjection 和 ModSecurity 項目

  • 項目質量:無控制臺,項目完全開源,文檔較少

  • 社區認可度:1300 Star

  • 社區活躍度:偶爾有更新,近一年更新過 2 個版本

南墻

主頁:https://waf.uusec.com/

南墻 WEB 應用防火墻(簡稱:uuWAF)是有安科技推出的一款全方位網站防護產品。通過有安科技專有的WEB入侵異常檢測等技術,結合有安科技團隊多年應用安全的攻防理論和應急響應實踐經驗積累的基礎上自主研發而成,缺點在于不能升級,有新版本要鏟掉重裝。

  • 防護效果:對 SQL、XSS、RCE、LFI 這四種攻擊檢測效果不錯,缺少對于非通用漏洞的防護規則

  • 技術先進性:具備基礎的語義檢測能力,支持通過機器學習對流量建模

  • 項目質量:具備 WAF 各項基礎能力,項目不開源,文檔相對完善

  • 社區認可度:198 Star

  • 社區活躍度:迭代較快,近一年更新過 7 個版本

JANUSEC

主頁:https://www.janusec.com/

JANUSEC 是一個開源的 Web 應用安全網關軟件,優勢在于功能豐富,同時具備負載均衡、WAF、身份認證、證書管理、堡壘機等功能,缺點是 WAF 的安全防護能力比較弱,只能防護一些簡單的攻擊,適合對安全防護要求不高的站長。

  • 防護效果:WAF 防護功能比較弱,只有一些簡單的正則規則

  • 技術先進性:以正則表達式為主,無其他防護引擎,對抗高強度攻擊的能力不足

  • 項目質量:功能豐富,項目開源,文檔豐富

  • 社區認可度:1000 Star

  • 社區活躍度:持續有更新,近一年更新過 4 個版本

HTTPWAF

主頁:https://github.com/httpwaf/httpwaf2.0

HTTPWAF 官方號稱是一款真正有 web 管理后臺,并且永久免費的 web 應用防火墻,既支持直接部署在 WEB 服務器上,又可以獨立部署保護后端服務器。在免費 WAF 界算是功能很豐富的項目,基礎檢測能力還可以,缺乏對抗高強度攻擊的能力。作為免費產品,源碼、文檔、安裝包均沒有公開提供,要加微信獲取。

  • 防護效果:基礎防護能力還可以,缺少對非通用漏洞的檢測規則

  • 技術先進性:資料很少,做不出判斷

  • 項目質量:功能豐富,交互還不錯,但是代碼和文檔都沒有開放

  • 社區認可度:65 Star

  • 社區活躍度:沒有太多社區化的內容

錦衣盾

主頁:https://www.jxwaf.com/

錦衣盾(JXWAF)是一款基于 OpenResty 開發的下一代 Web 應用防火墻,獨創的業務邏輯防護引擎和機器學習引擎可以有效對業務安全風險進行防護,解決傳統 WAF 無法對業務安全進行防護的痛點。

  • 防護效果:基礎防護能力較弱,對非通用漏洞的檢測效果不太好,誤報有點嚴重

  • 技術先進性:規則簡單,對抗高強度攻擊的能力不足

  • 項目質量:功能比較少,交互不太好用,項目開源,代碼質量不高,文檔基本完善

  • 社區認可度:965 Star

  • 社區活躍度:持續有更新,近一年更新過 1 個版本


該文章在 2024/7/5 18:02:14 編輯過
關鍵字查詢
相關文章
正在查詢...
點晴ERP是一款針對中小制造業的專業生產管理軟件系統,系統成熟度和易用性得到了國內大量中小企業的青睞。
點晴PMS碼頭管理系統主要針對港口碼頭集裝箱與散貨日常運作、調度、堆場、車隊、財務費用、相關報表等業務管理,結合碼頭的業務特點,圍繞調度、堆場作業而開發的。集技術的先進性、管理的有效性于一體,是物流碼頭及其他港口類企業的高效ERP管理信息系統。
點晴WMS倉儲管理系統提供了貨物產品管理,銷售管理,采購管理,倉儲管理,倉庫管理,保質期管理,貨位管理,庫位管理,生產管理,WMS管理系統,標簽打印,條形碼,二維碼管理,批號管理軟件。
點晴免費OA是一款軟件和通用服務都免費,不限功能、不限時間、不限用戶的免費OA協同辦公管理系統。
Copyright 2010-2025 ClickSun All Rights Reserved