1.��ԴwafԴ��
2.开源Web应用防火墙工具
3.基于 OpenResty 和 ModSecurity 自建 WAF 实践
4.web安全测试神器——wafw00f
5.11K star！开源开源开源WAF的项目NO1，不花钱也能搞定安全
6.盘点 2023 十大免费/开源 WAF

��ԴwafԴ��

       雷池 WAF

       雷池是开源开源一款简单易用的社区 WAF 项目，它以 Nginx 为底层，项目作为反向代理接入网络，开源开源用来清洗黑客的项目qt spreadsheet 源码恶意流量，保护网站免受攻击。开源开源项目由长亭科技维护，项目他们在 GitHub 上还维护了多个知名安全开源项目。开源开源雷池自今年四月发布以来，项目更新迅速，开源开源四个月时间发布了 个版本，项目被 + 网站站长使用，开源开源并在 GitHub 上获得 3k+ 的项目 star。

       安装与部署

       雷池采用容器化部署，开源开源服务由多个 Docker 容器组成。作者提供了方便的安装脚本，只需服务器能联网，即可自动拉取镜像、初始化配置文件并启动服务。安装过程简单快捷，只需执行仓库中的 setup.sh 脚本，或使用在线安装脚本。安装完成后，通过访问本地的 Web 服务端口即可开始使用。

       工作原理

       雷池以反向代理方式接入，优先接收流量并进行检测和清洗，将清洗过的流量转发至网站服务器，确保外部攻击流量无法触达服务器。通过这种方式，雷池能够有效防止黑客攻击。

       核心能力

       雷池具备防护 Web 攻击、CC 攻击和爬虫的能力。其 Web 攻击检测能力基于语义分析算法，自动机引擎 yanshi 支持对片段语法分析、请求参数自动化递归解码，右侧窗口源码识别攻击片段并判定恶意攻击。此外，雷池集成了多种人机验证算法，包括恶意 IP 情报、客户端指纹和访问频率限制，用于对抗爬虫、CC 攻击和扫描。

       流量访问控制与资源识别

       雷池支持通过可视化页面配置访问控制黑白名单，允许设置源 IP、路径、域名、Header 和 Body 等条件。同时，它能够基于 HTTP 流量自动识别 Web 资源，生成 API 画像进行统计和分析，精准识别异常访问行为，检测出正常操作下的异常流量。

       项目特性

       雷池安装便捷，使用简单，无需复杂的背景知识即可发挥顶级安全防护效果。其安全防护能力强，基于语义分析的 Web 攻击检测算法在安全行业享有高度认可。此外，它还具备 IP 威胁情报、动态限频、智能建模等高级防护能力。雷池具有高性能和高稳定性的特点，轻松支撑 + TPS 流量，且攻击检测带来的延迟极低，仅为 1 毫秒。

       GitHub 仓库：github.com/chaitin/safe...

开源Web应用防火墙工具

       Web 应用防火墙 (WAF) 是保护 Web 应用程序免受攻击的重要安全技术。它通过监控和过滤 Web 流量，有效防止恶意攻击和入侵。WAF 通常集成了入侵检测系统 (IDS)、入侵防御系统 (IPS) 和深度包检测 (DPI) 等技术。token meta源码

       AIHTTPS 是一款高级 WAF，兼容 ModSecurity 规则，采用智能语义解析发现未知漏洞，并通过机器学习生成对抗规则，防御常见攻击，包括恶意扫描、CC、DDoS、SQL 注入、XSS 等。其商业版本开源，是商业化程度最高的 Web 应用防火墙。

       GoodWAF 是一款国内开发的免费 WAF，集成 WAF、态势感知、数据风控和 WEB 应用加固等功能，是优秀的 Web 安全防护产品。

       HttpWAF 是一款带 Web 管理后台、提供永久免费版本的 WAF。它支持自定义规则和未知攻击检测，部署简单，1 分钟即可完成，但为安全考虑，不联网环境下可能需要手动升级。

       ModSecurity 是一个开源的跨平台 WAF，始于 年。它以其安全社区 OWASP 开发和维护的核心规则集而闻名，规则对抗已知攻击效果良好，但无法应对未知攻击，且在某些环境下可能有误报问题。

       Safeline 是一款轻量级、易用的免费 WAF，基于业界领先的语义引擎检测技术，作为反向代理接入，有效保护网站免受黑客攻击。wifidog平台源码

基于 OpenResty 和 ModSecurity 自建 WAF 实践

       面对外卖系统存在的安全隐患和Web攻击，一家公司的PHP后端工程师采取了自建WAF的策略，选择了OpenResty和ModSecurity作为技术基石。WAF作为Web安全的重要防线，OpenResty凭借其高性能和Lua库的优势简化了集成，而ModSecurity作为强大的开源WAF引擎，专为HTTP流量防护而设计，且被Nginx官方推荐。下面，我们将逐步介绍如何在Debian系统服务器上安装和配置这个自建WAF系统。

       1. 首先，安装libmaxminddb库，用于解析IP信息。这对于WAF解析和处理网络请求至关重要。

       2. 接下来，安装ModSecurity 3.x版本，支持Nginx。由于是源码编译安装，确保版本兼容性至关重要。

       3. 安装OpenResty，并通过Nginx的--add-dynamic-module选项添加ModSecurity Nginx connectors，以便在Nginx环境中运行和扩展WAF功能。

       4. 在OpenResty的配置文件中，启用ModSecurity，并集成OWASP ModSecurity核心规则集（CRS），这是一个通用的攻击检测规则集，用于提高WAF的防护能力。

       通过这样的实践，公司成功地构建了一个自适应、高效且成本效益高的WAF系统，有效保护了外卖系统的安全。如有兴趣深入了解，可以参考《基于OpenResty和ModSecurity的自建WAF实践》一文获取详细步骤和配置指南。

web安全测试神器——wafwf

       Wafwf是针对Web应用程序安全性的开源工具，它可在Web服务器上运行，素材 交易 源码检测并防御常见的网络攻击。借助模块化设计与高度可配置性，安全专家能够根据需求定制此工具。功能包括但不限于IP白名单、URL重写、HTTP头检查、SQL注入防御、XSS防御、CRLF攻击防御等。同时，wafwf支持多种Web服务器与应用服务端技术，如Apache、Nginx、Lig/。雷池社区版由长亭科技根据企业版雷池Web应用防护系统提炼而来，核心检测能力由长亭首创的智能语义分析算法驱动。项目开源了语义分析算法的核心引擎和相关安全插件，控制台未开源。优点在于防护效果好，项目迭代快，界面清爽好用，缺点在于社区版相比企业版功能较少，但能满足WAF的基本需求。

       Coraza，主页：/alexazhou/VeryNginx。VeryNginx是一款与Nginx深度集成的WAF扩展程序，相比其他Nginx扩展，VeryNginx是少数提供了控制台的WAF项目。VeryNginx没有提供核心检测引擎，规则部分依赖第三方库。VeryNginx在GitHub有 star，是国产WAF项目中star数最高的项目，但项目年久失修，规则库也多年不更新，项目基本停止维护，非常可惜。

       ...

Github第一Star数的国产免费开源防火墙--雷池社区版初步体验

       前言

       近期准备搭建一个博客网站，用于存储工作室同学们的学习笔记。服务器将直接部署在公网，便于大家随时访问。为了防止网站遭受攻击，我决定部署开源WAF。

       明确需求：

       零成本，效果好，易使用

       雷池社区版符合我的需求，它是一个开源WAF，在GitHub上迅速崛起，以8.3k+的Star数高居榜首，装机量接近w。

       为什么选择雷池社区版？

       雷池的商业版本获得业界认可，但头部企业使用量有限。为了让更多用户零成本体验智能语义分析算法，我们发布雷池社区版，旨在提供简单且好用的WAF。

       为什么受到欢迎？

       官方文档完善，用户反馈良好，雷池社区版得到认可。

       为什么好用？

       核心检测能力源自长亭科技的智能语义分析算法，相比传统正则匹配，具有更高的检测率、准确率和低误报率，检测速度远超平均。

       安装与使用：

       一键安装功能让部署变得简单，只需在安装好Docker后，输入命令即可完成安装。

       登录界面清爽，功能强大：

       登录过程采用动态口令验证，确保后台安全。数据统计、攻击事件和防护站点功能一目了然。

       功能体验：

       目录扫描、SQL注入、文件上传和RCE测试显示，雷池社区版对安全威胁有良好防护，尤其在高强度防护模式下表现突出。

       总结：

       雷池社区版是一款易于使用的WAF，防御效果好，性能卓越，适合小型网站和个人站长。对于有商用需求或对网站安全要求较高的用户，建议考虑专业版或企业版。

       总体评价：雷池社区版是一款出色的国产WAF，适合个人和小型企业网站，值得推荐。

       希望雷池持续发展，让“不让黑客越雷池一步”的企业理念深入人心。

年值得关注的几款开源或免费的web应用防火墙

       展望年，随着人工智能的蓬勃发展，Web应用防火墙（WAF）领域正迎来智能化的革新。各大云服务提供商如Cloudflare、阿里云、腾讯云等纷纷投入研发，尽管商业WAF多为闭源，但开源选择寥寥。经过深究，以下是几款值得关注的免费或开源Web应用防火墙解决方案：

       首先，AIHTTPS出品的ebHTTPS凭借eBPF技术，以零配置、无须导入SSL证书及不影响生产环境等优点脱颖而出。它利用eBPF的hook功能，通过uprobe、kprobe技术实时检测HTTPS请求，展现强大的攻击检测能力。

       其次，虽然Nginx作为基础的Web服务器，可通过二次开发形成web应用防火墙模块，如unixhot、openresty等，其稳定性和性能卓越，但高级功能和人工智能技术的实现仍有提升空间。

       ModSecurity作为WAF的先驱，拥有丰富的规则集，对于已知漏洞防护有优势，但在对抗未知漏洞和减少误报方面稍显不足，随着时代进步，其智能化程度有待加强。

       Cloudflare以其基础防护功能的免费性广受青睐，为众多网站提供基础安全，但对于更高级的智能化需求，用户可能需要付费升级。

       而pose.yml`中进行修改并重建容器。

       接着，对站点进行常规配置，确保`https`启用。进入站点配置文件，将`https`监听端口修改为，可以使用批量替换功能。长亭雷池WAF的安装则通过1Panel应用商店完成，具体操作是在计划任务中添加相应的Shell脚本，国际网络和国内网络的安装指令略有不同，执行后刷新本地应用。

       添加站点到WAF时，只需按照指示进行配置，WAF作为下游，由openresty提供基础的网站设置。然而，由于雷池WAF社区版未提供证书夹，每次添加站点都需要上传自签发的SSL证书，证书名随机生成。要确保访问证书正常，需要定期替换签发的证书，使用acme.sh工具，并根据配置文件找到对应证书名进行替换。此外，openresty的站点证书也可一并替换，通过计划任务定期执行替换命令。

盘点 十大免费开源 WAF

       在年，Web应用防火墙（WAF）市场依然活力四溢，众多开源项目凭借其卓越性能和日益完善的防护策略吸引了众多开发者与安全团队的目光。下面，我们将揭晓备受关注的十大免费开源WAF，它们在防攻击、技术先进性和社区支持等方面各有千秋。

       1. ModSecurity- 经典之选，集成广泛

       作为老牌开源项目，ModSecurity以其全面的防护能力赢得了颗GitHub星的肯定。然而，其在防护技术上可能易被绕过，但其广泛的集成性和成熟性使其在众多WAF中占有一席之地。

       2. 雷池社区版- 长亭科技出品，智能护航

       雷池社区版凭借智能语义分析技术，防护效果出色，获得了颗星的高分。其快速迭代的特点使得它在对抗攻击方面具有竞争力，是值得关注的新兴力量。

       3. Coraza- 高性能引擎，兼容并蓄

       Coraza凭借高性能引擎和对ModSecurity规则的兼容性，吸引了颗星的粉丝。频繁的更新确保了其技术先进性，是那些追求高效防护的开发者的选择。

       尽管VeryNginx曾有颗星的高光时刻，但因停止维护和规则过时，其在防护效果和社区活跃度上已略显不足。

VeryNginx- 过时的选择

       尽管曾有控制台WAF之名，VeryNginx因其7年未更新且规则陈旧，如今只能提供基础防护，星数已降至，不再推荐作为首选。

       其他项目如NAXSI、NGX_WAF和南墙uuWAF各有特点，但都存在防护效果或技术先进的局限性，社区认可度也各有千秋。

       **锦衣盾（JXWAF）** - 高性能与不足并存

       JXWAF基于OpenResty，拥有业务逻辑防护和机器学习引擎，但基础防护和高级攻击防御能力有待提升。开源代码质量良好，文档丰富，社区认可度为星，活跃度一般。

       以上只是部分项目概况，每个WAF都有其独特的优势和局限性，选择时务必结合具体需求和安全策略进行评估。如果您对这些开源WAF有任何疑问，务必查看相关文档和社区讨论，确保找到最适合您项目的解决方案。

       最后，别忘了关注我们更多技术分享，如黑客入门教程、网络扫描工具和安全实践指南，助您在保障Web应用安全的道路上更进一步。