2020年十大开源waf介绍

2020年全球爆发新冠疫情重创经济,5G和物联网可能会快速崛起拉动经济,HTTPS加密已经普及,传统的防火墙检测功能失效,所以对于服务器来说,部署一个WEB应用防火墙十分重要,这方面开源waf的不少,但优秀的不多,这里笔者经过大量搜索,整理出十大开源waf供大家学习。

      1、ModSecurity
   ModSecurity已经有10多年的历史,最开始是一个Apache的安全模块,后来发展成为开源的、跨平台的WEB应用防火墙。它可以通过检查WEB服务接收到的数据,以及发送出去的数据来对网站进行安全防护。
最厉害的是著名安全社区OWASP,开发和维护着一套免费的应用程序保护规则,这就是所谓OWASP的ModSecurity的核心规则集(即CRS),几乎覆盖了如SQL注入、XSS跨站***脚本、DOS等几十种常见WEB***方法。
项目地址:https://github.com/SpiderLabs/ModSecurity

2、HiHTTPS

hihttps是一款少有完整源码的高性能WEB应用 + MQTT物联网防火墙,兼容ModSecurity规则并开源。特点是使用超级简单,就一个约10M的可执行文件,但防护功能一应俱全,包括:漏洞扫描、CC &DDOS、密码破解、SQL注入、XSS***等。
更重要的是hihttps基于机器学习的商业版本,也是免费的,由机器自动采集样本无监督学习,自动生成对抗规则。众所周知,阿里云/腾讯云等WAF非常贵,很多中小企业买不起,可以下载一个免费的hihttps试试。
       项目地址:https://github.com/qq4108863/

官网:http://www.hihttps.com

3、 Naxsi
Naxsi 是一款基于Nginx模块的防火墙,有自己规则定义,崇尚低规则。项目由C语言编写,需要熟练掌握Nginx源码的才能看懂。
项目地址:https://github.com/nbs-system/naxsi

4、OpenWAF

OpenWAF是基于Nginx_lua?API分析HTTP请求信息,由行为分析引擎和规则引擎两大功能引擎构成,其中规则引擎主要对单个请求进行分析,行为分析引擎主要负责跨请求信息追踪。
规则引擎的启发来自modsecurity及freewaf(lua-resty-waf),将ModSecurity的规则机制用lua实现。
基于规则引擎可以进行协议规范,自动工具,SQL注入,跨站***,信息泄露,异常请求等安全防护,支持动态添加规则,及时修补漏洞。缺点是复杂,不适合不熟悉Nginx和lua语言的开发者。
项目地址:https://github.com/titansec/OpenWAF

5、FreeWAF
FeeWAF是一款开源的WEB应用防火墙产品,其命名为FreeWAF,它工作在应用层,对HTTP进行双向深层次检测:对 Internet进行实时防护,避免***利用应用层漏洞非法获取或破坏网站数据,可以有效地抵御***的各种***,如SQL注入、XSS、CSRF***、缓冲区 溢出、应用层DOS/DDOS***等;同时,对WEB服务器侧响应的出错信息、恶意内容及不合规格内容进行实时过滤,避免敏感信息泄露,确保网站信息的可靠性。但项目已经很久没更新了。

6、ESAPI WAF
这是OWASP?ESAPI 项目提供的一个开源WAF,基于J2EE实现,其主要利用XML的配置方式驱动防火墙。安装时,在WEB.xml中将ESAPIWEBApplicationFirewallFilter配置为filter,在应用程序之前和之后处理输入和输入。

7、unixhot
unixhot是使用Nginx+Lua实现自定义WAF,一句话描述,就是解析HTTP请求(协议解析模块),规则检测(规则模块),做不同的防御动作(动作模块),并将防御过程(日志模块)记录下来,非常简单。
项目地址:https://github.com/unixhot/waf

8、Java WAF
用Java开发的WAF很少,我们发现一个使用Java开发的API Gateway,由于WAF构建在开源代理LittleProxy之上,所以说WAF底层使用的是Netty。功能上支持安全拦截、各种分析检测、脚本(沙箱)、流控/CC防护等。不会C语言,是Java爱好者的福音。
项目地址:https://github.com/chengdedeng/waf

9、X-WAF
X-WAF是一款适用中、小企业的云WAF系统,让中、小企业也可以非常方便地拥有自己的免费云WAF。核心基于openresty + lua开发,waf管理后台:采用golang + xorm + macrom开发的,支持二进制的形式部署。
项目地址:https://github.com/xsec-lab/x-waf

10、VeryNginx
VeryNginx 也是基于?lua_Nginx_module(openrestry)?开发,实现了高级的防火墙、访问统计和其他的一些功能。集成在 Nginx 中运行,扩展了 Nginx 本身的功能,并提供了友好的 WEB 交互界面。
项目地址:https://github.com/alexazhou/VeryNginx/

评价:
传统的WAF规则已经很难对付未知漏洞和未知***,商业waf已经从传统特征工程转向机器学习自动防御,这方面的开源waf几乎没有,hihttps是唯一一个免费并且支持机器学习的waf,未来WEB安全必然是AI的天下。

原文地址:https://blog.51cto.com/14678079/2474927
(0)

相关推荐

  • Datawhale组队学习周报(第026周)

    本文总结了本周(08月09日~08月15日)Datawhale组队学习的运行情况,我们一直秉承"与学习者一起成长的理念",希望这个活动能够让更多的学习者受益. 第 25 期组队学习 ...

  • 10大开源的Web应用防火墙介绍

    10大开源的Web应用防火墙介绍 Web应用防火墙提供应用层的安全.从本质上讲,WAF提供全面的web应用安全解决方案,确保数据和Web应用程序是安全的.下面赵一八笔记(www.fuwuqidl.co ...

  • Datawhale组队学习周报(第017周)

    本周(05月31日~06月06日),第 25 期组队学习一共有 3 门开源课程,共组建了 3 个学习群,参与的学习者有 292 人,其中 web开发入门教程 已经结营,另外两门课程也在结营筹划中. 第 ...

  • Datawhale组队学习周报(第021周)

    本文总结了本周(07月05日~07月11日)Datawhale组队学习的运行情况,我们一直秉承"与学习者一起成长的理念",希望这个活动能够让更多的学习者受益. 第 25 期组队学习 ...

  • 2020年度全国十大考古新发现介绍

    4月12日至13日,中国文物报社.中国考古学会主办的2020年度全国十大考古新发现终评会在京召开.经过4月12日全天的项目汇报会,4月13日上午,评委会经过综合评议,最终投票选出2020年度全国十大考 ...

  • 电脑芯片品牌有哪些?十大芯片品牌介绍

    随着电脑的不断更新换代,电脑逐渐成为了人们工作生活中不可或缺的好帮手!但是在默默付出的却是电脑芯片,芯片可以说是电脑的心脏,电脑芯片还可以分为很多种类,比如电脑中的显卡和声卡都是属于电脑中的芯片,芯片 ...

  • 2020中国十大向往之城:南方城市占据大多数,广州、深圳遗憾落榜

    4月23日,由中央广播电视总台联合国家统计局.中国邮政.北京大学国家发展研究院共同推出的(中国美好生活城市2020-2021)中国"十大大美之城"和"十大向往之城&quo ...

  • 【微分享】2020年十大网络用语和流行语(PPT31张)

    2020年十大网络用语和流行语(PPT) 上面资源 若要下载 联系小微 上面资源 若要下载 联系小微 [链接]语文微光QQ群的那些事儿        

  • 2020民航十大新闻

    转眼一年过去,拉总在此向各位粉丝问好!祝大家新的一年里不被隔离,不被取消,开开心心地四处乱飞,痛痛快快地畅游八方! 图:这倒霉的2020年-- 在过去的一年里,民航界都发生了哪些大事?拉总今天带你盘点 ...

  • 2020年十大垃圾文玩手串排行榜!(值得收藏)

    玩文玩久了,你会发现很多玩家喜欢说自己的手串是垃圾串,不过千万别把这话当真,那是人家自谦,普通手串也能盘出精品来. 可是,下面这些手串却是千万不能入手的,是名副其实的垃圾串!不管是占小便宜还是花大价钱 ...

  • 中国古代十大儒将人物介绍

    中国古代十大儒将人物介绍

  • 中国古代十大罪人人物介绍

    中国古代十大罪人人物介绍

  • 中国古代十大名将人物介绍

    中国古代十大名将人物介绍