2020年十大开源waf介绍

2020年全球爆发新冠疫情重创经济,5G和物联网可能会快速崛起拉动经济,HTTPS加密已经普及,传统的防火墙检测功能失效,所以对于服务器来说,部署一个WEB应用防火墙十分重要,这方面开源waf的不少,但优秀的不多,这里笔者经过大量搜索,整理出十大开源waf供大家学习。

1、ModSecurity
ModSecurity已经有10多年的历史,最开始是一个Apache的安全模块,后来发展成为开源的、跨平台的WEB应用防火墙。它可以通过检查WEB服务接收到的数据,以及发送出去的数据来对网站进行安全防护。
最厉害的是著名安全社区OWASP,开发和维护着一套免费的应用程序保护规则,这就是所谓OWASP的ModSecurity的核心规则集(即CRS),几乎覆盖了如SQL注入、XSS跨站***脚本、DOS等几十种常见WEB***方法。
项目地址:https://github.com/SpiderLabs/ModSecurity

2、HiHTTPS

hihttps是一款少有完整源码的高性能WEB应用 + MQTT物联网防火墙,兼容ModSecurity规则并开源。特点是使用超级简单,就一个约10M的可执行文件,但防护功能一应俱全,包括:漏洞扫描、CC &DDOS、密码破解、SQL注入、XSS***等。
更重要的是hihttps基于机器学习的商业版本,也是免费的,由机器自动采集样本无监督学习,自动生成对抗规则。众所周知,阿里云/腾讯云等WAF非常贵,很多中小企业买不起,可以下载一个免费的hihttps试试。
项目地址:https://github.com/qq4108863/ 官网:http://www.hihttps.com

3、 Naxsi
Naxsi 是一款基于Nginx模块的防火墙,有自己规则定义,崇尚低规则。项目由C语言编写,需要熟练掌握Nginx源码的才能看懂。
项目地址:https://github.com/nbs-system/naxsi

4、OpenWAF

OpenWAF是基于Nginx_lua?API分析HTTP请求信息,由行为分析引擎和规则引擎两大功能引擎构成,其中规则引擎主要对单个请求进行分析,行为分析引擎主要负责跨请求信息追踪。
规则引擎的启发来自modsecurity及freewaf(lua-resty-waf),将ModSecurity的规则机制用lua实现。
基于规则引擎可以进行协议规范,自动工具,SQL注入,跨站***,信息泄露,异常请求等安全防护,支持动态添加规则,及时修补漏洞。缺点是复杂,不适合不熟悉Nginx和lua语言的开发者。
项目地址:https://github.com/titansec/OpenWAF

5、FreeWAF
FeeWAF是一款开源的WEB应用防火墙产品,其命名为FreeWAF,它工作在应用层,对HTTP进行双向深层次检测:对 Internet进行实时防护,避免***利用应用层漏洞非法获取或破坏网站数据,可以有效地抵御***的各种***,如SQL注入、XSS、CSRF***、缓冲区 溢出、应用层DOS/DDOS***等;同时,对WEB服务器侧响应的出错信息、恶意内容及不合规格内容进行实时过滤,避免敏感信息泄露,确保网站信息的可靠性。但项目已经很久没更新了。

6、ESAPI WAF
这是OWASP?ESAPI 项目提供的一个开源WAF,基于J2EE实现,其主要利用XML的配置方式驱动防火墙。安装时,在WEB.xml中将ESAPIWEBApplicationFirewallFilter配置为filter,在应用程序之前和之后处理输入和输入。

7、unixhot
unixhot是使用Nginx+Lua实现自定义WAF,一句话描述,就是解析HTTP请求(协议解析模块),规则检测(规则模块),做不同的防御动作(动作模块),并将防御过程(日志模块)记录下来,非常简单。
项目地址:https://github.com/unixhot/waf

8、Java WAF
用Java开发的WAF很少,我们发现一个使用Java开发的API Gateway,由于WAF构建在开源代理LittleProxy之上,所以说WAF底层使用的是Netty。功能上支持安全拦截、各种分析检测、脚本(沙箱)、流控/CC防护等。不会C语言,是Java爱好者的福音。
项目地址:https://github.com/chengdedeng/waf

9、X-WAF
X-WAF是一款适用中、小企业的云WAF系统,让中、小企业也可以非常方便地拥有自己的免费云WAF。核心基于openresty + lua开发,waf管理后台:采用golang + xorm + macrom开发的,支持二进制的形式部署。
项目地址:https://github.com/xsec-lab/x-waf

10、VeryNginx
VeryNginx 也是基于?lua_Nginx_module(openrestry)?开发,实现了高级的防火墙、访问统计和其他的一些功能。 集成在 Nginx 中运行,扩展了 Nginx 本身的功能,并提供了友好的 WEB 交互界面。
项目地址:https://github.com/alexazhou/VeryNginx/

评价:
传统的WAF规则已经很难对付未知漏洞和未知***,商业waf已经从传统特征工程转向机器学习自动防御,这方面的开源waf几乎没有,hihttps是唯一一个免费并且支持机器学习的waf,未来WEB安全必然是AI的天下。

原文地址:https://blog.51cto.com/14678079/2474927

时间: 2024-10-28 18:53:32

2020年十大开源waf介绍的相关文章

视频会议及流媒体十大开源项目

在视频会议领域,有许多可以值得参考的开源项目,这些开源项目有的是协议栈.有的是编码器或者是传输协议,由于视频会议系统是一个综合性的应用系统,里面包含功能较多,如能把这些开源项目选择性的加入我们的视频会议开发当中,我们的开发效率肯定会事半功倍,下面我们列举一下视频会议相关的十大开源项目,并对其重要性及优缺点做一个全面的评价与排名. 1. OpenH323项目        (★★★★★) 上榜理由:最著名的H.323开源协议栈,视频会议开发必备协议栈,强烈推荐 最著名的H.323开源协议栈,包含了

视频会议十大开源项目排行

目录(?)[+] 在视频会议领 域,有许多可以值得参考的开源项目,这些开源项目有的是协议栈.有的是编码器或者是传输协议,由于视频会议系统是一个综合性的应用系统,里面包含功能较 多,如能把这些开源项目选择性的加入我们的视频会议开发当中,我们的开发效率肯定会事半功倍,下面我们列举一下视频会议相关的十大开源项目,并对其重要性 及优缺点做一个全面的评价与排名. 1. OpenH323项目        (★★★★★) 上榜理由:最著名的H.323开源协议栈,视频会议开发必备协议栈,强烈推荐 最著名的H.

转:十大开源游戏引擎深入比较

在国内外,业界盛传有十大开源游戏引擎,分别是OGRE.Irrlicht.Panda3D.Crystal Space.jME.Blender Game Engine.Reality Factory.The Nebula Device 2.RealmForge.OpenScene- Graph.我们对这十款开源游戏引擎深入进行分析. (1) OGRE是面向对象图形渲染引擎(Object-Oriented Graphics Rendering Engine)的缩写,采用C++开发,以MIT许可证发布,

十大开源ERP点评 献给深水区的中小企业和CIO们

原文地址:http://www.oschina.net/news/58437/top-10-erp-software 如今,企业资源规划(ERP)和客户关系管理(CRM)系统的必要性已经被各种组织和企业所认可:ERP和CRM能够直接为企业的业务效率和利润做出贡献. 但 是随着今天企业商业形态的日趋多样化,互联网新经济的蓬勃发展,不同行业的企业都面临颠覆性技术和市场转型的挑战,这导致企业对ERP系统的需求日趋多样 化,而传统ERP系统往往无法满足企业的个性化需求.为了追求更高的业务灵活性.可扩展性

年底盘点之十大开源安全工具

Facebook 等大型互联网公司推动的服务器与数据中心.大数据工具的开源化项目类似,当大型互联网公司们在超大规模基础设施运营方面面临的挑战超出技术厂商的能力时,这些巨头就选择反客为主,成为创新技术的推动者和提供者.同样的情况也在信息安全领域中发生着.不少大型互联网公司经常会将自己开发的顶级安全工具开源,推动整个互联网的安全发展. 事实上不仅Google.Facebook,包括Netflix甚至Etsy.com这样的电商网站也都贡献过精品开源安全工具. 下面就来为大家盘点下十大开源安全工具 一.

十大开源游戏引擎深入比较(转)

在国内外,业界盛传有十大开源游戏引擎,分别是OGRE.Irrlicht.Panda3D.Crystal Space.jME.Blender Game Engine.Reality Factory.The Nebula Device 2.RealmForge.OpenScene- Graph.我们对这十款开源游戏引擎深入进行分析.(1) OGRE是面向对象图形渲染引擎(Object-Oriented Graphics Rendering Engine)的缩写,采用C++开发,以MIT许可证发布,可

2017年最受欢迎的十大开源黑客工具

八 戒推荐一 [黑客]cracer入侵入门到精通视频教程 刚刚过去的2017年,对于大多数信息安全从业人员来说是无话可说的一年,充斥各种狗血的开脑洞的剧情,可以出问题的地方全部都出了问题,从MongoDB数据库.到WiFi安全协议.英特尔处理器漏洞.到NSA的超级武器包.僵尸摄像头.会挖矿的海盗湾.邻居胖子发明的想哭勒索病毒-万幸的是,下半场黑客实在扛不住加密货币的疯狂诱惑,忙着往恶意软件.网页.APP.固件,手机.路由器所有能放代码的地方植入矿机,转移了不少火力. 好了言归正传,以下是Dark

盘点互联网巨头奉献的十大开源安全工具[转]

摘自红黑联盟,原文链接:http://www.2cto.com/Article/201411/355461.html Facebook等大型互联网公司推动的服务器与数据中心.大数据工具的开源化项目类似,当大型互联网公司们在超大规模基础设施运营方面面临的挑战超出技术厂商的能力时,这些巨头就选择反客为主,成为创新技术的推动者和提供者.同样的情况也在信息安全领域中发生着.不少大型互联网公司经常会将自己开发的顶级安全工具开源,推动整个互联网的安全发展. 本月早些时候安全牛曾介绍过 Google开源的we

十大开源Swift库开始你的下一个iOS项目

随着Swift变得更加成熟,开源Swift库变得越来越多样化并且数量迅速增长.在本文中,我策划了可用于引导您的下一个iOS项目的最佳开源Swift库.它们将使您的代码库更加强大,性能更高,并允许您 更快地发布iOS项目. 事实上,在我的应用中,我集成了几乎所有这些开源库,如SnapKit,MapKit,ChartKit等.基于我的移动开发经验,今天我将介绍最知名和最常用的iOS库,在MIT许可下免费,在Github上. 1. Alamofire 对于服务器通信,除了使用iOS的内置类  URLS