开源免费的WEB应用防火墙
开源免费的WEB应用防火墙
排名不分前后
资源宝分享:www.httple.net
南墙waf测试linux7.6和宝塔不兼容,会用使用docker版waf隔离开来https://waf.uusec.com/waf-docker-community.v2.1.5.tgz
1、南墙WEB应用防火墙(简称:)是有安科技推出的一款全方位网站防护产品。通过有安科技专有的WEB入侵异常检测等技术,结合有安科技团队多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发而成。协助各级政府、企/事业单位全面保护WEB应用安全,实现WEB服务器的全方位防护解决方案。uuWAF
南墙采用业界领先的 4种基于语义分析的检测引擎,结合多种深度解码引擎可对等HTTP内容真实还原,从而有效抵御各种绕过WAF的攻击方式,并且相比传统正则匹配具备准确率高、误报率低、效率高等特点,管理员无需维护庞杂的规则库,即可拦截多种攻击类型。SQL、XSS、RCE、LFIbase64、json、form-data
项目地址:https://waf.uusec.com/
一键安装
bash环境下执行如下命令:
sudo yum install -y ca-certificates
sudo wget https://waf.uusec.com/waf-install && chmod +x waf-install && ./waf-install && rm -f ./waf-install
2、HiHTTPS
hihttps是一款免费的高性能WEB应用 + MQTT物联网防火墙,兼容ModSecurity规则并开源。特点是使用超级简单,就一个约10M的可执行文件,但防护功能一应俱全,包括:漏洞扫描、CC &DDOS、暴力破解、SQL注入、XSS攻击等。
更重要的是hihttps官方的基于机器学习的商业版本,也是免费的,由机器自动采集样本无监督学习,自动生成对抗网络。众所周知,阿里云/腾讯云等WAF非常贵,很多中小企业买不起,可以下载一个免费的hihttps试试。
项目地址:https://github.com/qq4108863/ 官网:http://www.hihttps.com
3、ModSecurity 安装教程
ModSecurity最开始是一个Apache的安全模块,后来发展成为开源的、跨平台的WEB应用防火墙。它可以通过检查WEB服务接收到的数据,以及发送出去的数据来对网站进行安全防护。
最厉害的是著名安全社区OWASP,开发和维护着一套免费的应用程序保护规则,这就是所谓OWASP的ModSecurity的核心规则集(即CRS),几乎覆盖了如SQL注入、XSS跨站攻击脚本、DOS等几十种常见WEB攻击方法。
项目地址:https://github.com/SpiderLabs/ModSecurity
4、 Naxsi
Naxsi 是一款基于Nginx模块的防火墙,有自己规则定义,崇尚低规则。项目由C语言编写,需要熟练掌握Nginx源码的才能看懂。
项目地址:https://github.com/nbs-system/naxsi
5、OpenWAF
OpenWAF是基于Nginx_lua API分析HTTP请求信息,由行为分析引擎和规则引擎两大功能引擎构成,其中规则引擎主要对单个请求进行分析,行为分析引擎主要负责跨请求信息追踪。
规则引擎的启发来自modsecurity及freewaf(lua-resty-waf),将ModSecurity的规则机制用lua实现。
基于规则引擎可以进行协议规范,自动工具,注入攻击,跨站攻击,信息泄露,异常请求等安全防护,支持动态添加规则,及时修补漏洞。缺点是复杂,不适合不熟悉Nginx和lua语言的开发者。
项目地址:https://github.com/titansec/OpenWAF
6、FreeWAF
FeeWAF是一款开源的WEB应用防火墙产品,其命名为FreeWAF,它工作在应用层,对HTTP进行双向深层次检测:对于来自 Internet的 攻击进行实时防护,避免黑客利用应用层漏洞非法获取或破坏网站数据,可以有效地抵御黑客的各种攻击,如SQL注入攻击、XSS攻击、CSRF攻击、缓冲区 溢出、应用层DOS/DDOS攻击等;同时,对WEB服务器侧响应的出错信息、恶意内容及不合规格内容进行实时过滤,避免敏感信息泄露,确保网站信息的可靠性。但项目已经很久没更新了。
7、ESAPI WAF
这是OWASP ESAPI 项目提供的一个开源WAF,基于J2EE实现,其主要利用XML的配置方式驱动防火墙。安装时,在WEB.xml中将ESAPIWEBApplicationFirewallFilter配置为filter,在应用程序之前和之后处理输入和输入。
8、unixhot
unixhot是使用Nginx+Lua实现自定义WAF,一句话描述,就是解析HTTP请求(协议解析模块),规则检测(规则模块),做不同的防御动作(动作模块),并将防御过程(日志模块)记录下来,非常简单。
项目地址:https://github.com/unixhot/waf
9、Java WAF
用Java开发的WAF很少,我们发现一个使用Java开发的API Gateway,由于WAF构建在开源代理LittleProxy之上,所以说WAF底层使用的是Netty。功能上支持安全拦截、各种分析检测、脚本(沙箱)、流控/CC防护等。不会C语言,是Java爱好者的福音。
项目地址:https://github.com/chengdedeng/waf
10、X-WAF
X-WAF是一款适用中、小企业的云WAF系统,让中、小企业也可以非常方便地拥有自己的免费云WAF。核心基于openresty + lua开发,waf管理后台:采用golang + xorm + macrom开发的,支持二进制的形式部署。
项目地址:https://github.com/xsec-lab/x-waf
10、VeryNginx
VeryNginx 也是基于 lua_Nginx_module(openrestry) 开发,实现了高级的防火墙、访问统计和其他的一些功能。 集成在 Nginx 中运行,扩展了 Nginx 本身的功能,并提供了友好的 WEB 交互界面。
项目地址:https://github.com/alexazhou/VeryNginx/
11、GOODWAF
GOODWAF是一款国内开发的免费云waf产品,基于云端开发,用户只需要注册添加域名、ip等信息,并解析域名就可以,非常简单好用,并且所有功能都是免费的,本人亲测,具备cc防护、xss跨站攻击防护、webshell防护、SQL注入防护等传统防护功能。同时还具备态势感知3D大屏,随时能监控攻击来源等信息。还创新了主动防护功能,具备网页源代码加密、JS混淆、动态令牌等功能,能有效防护网站安全,也有cdn功能,能加速网站打开。因为是国内开发的,所以会比国外开发的用起来舒服很多,没有付费的地方,推荐大家使用。
项目地址:https://www.goodwaf.cn/
12、Cloudflare
Cloudflare也是一款比较好用的云waf产品,是一家美国厂商开发的,cloudflare具有防火墙、DDoS 保护、Rate limiting、机器人管理、v*n 等功能。同时cloudflare还具有自动waf更新功能,当发现适用于大部分用户的威胁时,会自动应用 WAF 规则来保护用户的Internet 资产。但是目前免费的功能只有DDOS防护了,waf功能需要付费才能使用。
项目地址:https://www.cloudflare-cn.com/
评价:
1、目前商业防火墙基本千篇一律的Nginx模块,真正有完整源码的很少,hihttps算一个。
2、传统的WAF规则已经很难对付未知漏洞和未知攻击,机器深度学习自动防御很可能是唯一有效途径,但真正具有人工智能的WAF还有很长的路。
开源免费的WEB应用防火墙相关推荐
- 2020年十大开源免费的WEB应用防火墙
2020年HTTPS加密已经普及,传统的防火墙检测功能失效,所以对于网站来说,部署一个WEB应用防火墙十分重要,这方面商业产品很多,开源的也不少,这里笔者经过大量搜索,整理出十大免费的产品供大家参考. ...
- 2023年推荐几款开源或免费的web应用防火墙
2023年推荐几款开源或免费的web应用防火墙 2023年,数字经济将强势崛起,并且成为新一轮经济发展的动力,传统的黑客破坏性攻击如CC,转为更隐蔽的如0day进行APT渗透.所以无论私有服务器还是云 ...
- 2021年十大开源web应用防火墙
开源web应用防火墙是网络安全的重要部分,Cloudflare认为:十年后数字经济的网络安全基础设施会像水过滤系统一样普及,而这个过滤系统的核心就是waf.对于服务器来说,部署WEB应用防火墙十分重要 ...
- windows下开源免费waf防火墙,附可用资源包
基于Apache ModSecurity 的waf防火墙,ModSecurity简介如下: ModSecurity最开始是一个Apache的安全模块,后来发展成为开源的.跨平台的WEB应用防火墙.它可 ...
- 2019年十大开源WEB应用防火墙点评
** 2019年十大开源WEB应用防火墙点评 ** 随着WEB应用的爆炸式成长和HTTPS加密的普及,针对网络应用层的攻击,像SQL注入.跨站脚本攻击.参数篡改.应用平台漏洞攻击.拒绝服务攻击等越来越 ...
- 10大开源的Web应用防火墙介绍
10大开源的Web应用防火墙介绍 Web应用防火墙提供应用层的安全.从本质上讲,WAF提供全面的web应用安全解决方案,确保数据和Web应用程序是安全的.下面赵一八笔记(www.fuwuqidl.co ...
- 10大开源的Web应用防火墙
Web应用防火墙提供应用层的安全.从本质上讲,WAF提供全面的web应用安全解决方案,确保数据和Web应用程序是安全的. Web应用防火墙,适用于跨站点脚本,SQL注入等,可以为Web应用程序提供安全 ...
- 推荐几款免费web应用防火墙(云waf)
众所周知,网站安全防护,对于企业非常重要.2020年HTTPS加密已经普及,传统的防火墙检测功能失效,所以对于网站来说,部署一个WEB应用防火墙十分重要,这方面商业产品很多,开源的也不少,这里经过大量 ...
- 目前有哪些免费web应用防火墙(云oaf)适合企业和个人网站防护?
目前有哪些免费web应用防火墙(云oaf)适合企业和个人网站防护? 企业想要防护网络安全云waf必不可少,云waf也就是我们通常说的web应用防火墙,主要是用来防护网站的安全.网站一旦受到攻击,或者是 ...
最新文章
- 11月8日学习内容整理:js的引入方式,变量数据类型,运算符,流程控制,函数...
- 170. Leetcode 135. 分发糖果 (贪心算法-两个维度权衡题目)
- 来自.NET FM的感谢信
- 【Nginx】磁盘文件写入飞地发
- java9 变化_Java 9 ← 2017,2019 → Java 13,来看看Java两年来的变化
- 写一个NSString类的实现
- Linux 时间戳获取及转换
- 损失函数、代价函数、目标函数、适应度函数的区别与联系
- stc15流水灯c语言,STC89C52单片机流水灯
- hadoop 起动是的时候报错 localhost: Could not create the Java virtual machine._far beyond me,thks~~_百度空间...
- 为了看Google IO 2019大会使用的工具
- 电脑哪个服务器可以玩无限连击,无尽之剑3手把手教你无限连击攻略
- Windows官网直接下载正版操作系统方法
- Go语言安装和配置SDK
- 创业初始,王兴每周工作超过100小时,互联网巨头各有各的辛酸
- 计算圆周率π的C++实现(任意精度)
- 模拟退火算法SA求解连续函数极值
- 买了个VR眼镜,体验一下元宇宙
- 能耗监测系统的研究与应用
- plt.rcParams参数设置