开源免费的WEB应用防火墙

排名不分前后

资源宝分享：www.httple.net

1、南墙WEB应用防火墙（简称：）是有安科技推出的一款全方位网站防护产品。通过有安科技专有的WEB入侵异常检测等技术，结合有安科技团队多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发而成。协助各级政府、企/事业单位全面保护WEB应用安全，实现WEB服务器的全方位防护解决方案。uuWAF

南墙采用业界领先的 4种基于语义分析的检测引擎，结合多种深度解码引擎可对等HTTP内容真实还原，从而有效抵御各种绕过WAF的攻击方式，并且相比传统正则匹配具备准确率高、误报率低、效率高等特点，管理员无需维护庞杂的规则库，即可拦截多种攻击类型。SQL、XSS、RCE、LFIbase64、json、form-data

项目地址：https://waf.uusec.com/
一键安装
bash环境下执行如下命令：

sudo yum install -y ca-certificates
sudo wget https://waf.uusec.com/waf-install && chmod +x waf-install && ./waf-install && rm -f ./waf-install

2、HiHTTPS

hihttps是一款免费的高性能WEB应用 + MQTT物联网防火墙，兼容ModSecurity规则并开源。特点是使用超级简单，就一个约10M的可执行文件，但防护功能一应俱全，包括：漏洞扫描、CC &DDOS、暴力破解、SQL注入、XSS攻击等。

更重要的是hihttps官方的基于机器学习的商业版本，也是免费的，由机器自动采集样本无监督学习，自动生成对抗网络。众所周知，阿里云/腾讯云等WAF非常贵，很多中小企业买不起，可以下载一个免费的hihttps试试。

项目地址：https://github.com/qq4108863/ 官网：http://www.hihttps.com

3、ModSecurity

ModSecurity最开始是一个Apache的安全模块，后来发展成为开源的、跨平台的WEB应用防火墙。它可以通过检查WEB服务接收到的数据，以及发送出去的数据来对网站进行安全防护。

最厉害的是著名安全社区OWASP，开发和维护着一套免费的应用程序保护规则，这就是所谓OWASP的ModSecurity的核心规则集(即CRS)，几乎覆盖了如SQL注入、XSS跨站攻击脚本、DOS等几十种常见WEB攻击方法。

项目地址：https://github.com/SpiderLabs/ModSecurity

4、 Naxsi

Naxsi 是一款基于Nginx模块的防火墙，有自己规则定义，崇尚低规则。项目由C语言编写，需要熟练掌握Nginx源码的才能看懂。

项目地址：https://github.com/nbs-system/naxsi

5、OpenWAF

OpenWAF是基于Nginx_lua API分析HTTP请求信息,由行为分析引擎和规则引擎两大功能引擎构成，其中规则引擎主要对单个请求进行分析，行为分析引擎主要负责跨请求信息追踪。

规则引擎的启发来自modsecurity及freewaf(lua-resty-waf)，将ModSecurity的规则机制用lua实现。

基于规则引擎可以进行协议规范，自动工具，注入攻击，跨站攻击，信息泄露，异常请求等安全防护，支持动态添加规则，及时修补漏洞。缺点是复杂，不适合不熟悉Nginx和lua语言的开发者。

项目地址：https://github.com/titansec/OpenWAF

6、FreeWAF

FeeWAF是一款开源的WEB应用防火墙产品，其命名为FreeWAF，它工作在应用层，对HTTP进行双向深层次检测：对于来自 Internet的 攻击进行实时防护，避免黑客利用应用层漏洞非法获取或破坏网站数据，可以有效地抵御黑客的各种攻击，如SQL注入攻击、XSS攻击、CSRF攻击、缓冲区 溢出、应用层DOS/DDOS攻击等；同时，对WEB服务器侧响应的出错信息、恶意内容及不合规格内容进行实时过滤，避免敏感信息泄露，确保网站信息的可靠性。但项目已经很久没更新了。

7、ESAPI WAF

这是OWASP ESAPI 项目提供的一个开源WAF，基于J2EE实现，其主要利用XML的配置方式驱动防火墙。安装时，在WEB.xml中将ESAPIWEBApplicationFirewallFilter配置为filter，在应用程序之前和之后处理输入和输入。

8、unixhot

unixhot是使用Nginx+Lua实现自定义WAF，一句话描述，就是解析HTTP请求（协议解析模块），规则检测（规则模块），做不同的防御动作（动作模块），并将防御过程（日志模块）记录下来，非常简单。

项目地址：https://github.com/unixhot/waf

9、Java WAF

用Java开发的WAF很少，我们发现一个使用Java开发的API Gateway，由于WAF构建在开源代理LittleProxy之上，所以说WAF底层使用的是Netty。功能上支持安全拦截、各种分析检测、脚本（沙箱）、流控/CC防护等。不会C语言，是Java爱好者的福音。

项目地址：https://github.com/chengdedeng/waf

10、X-WAF

X-WAF是一款适用中、小企业的云WAF系统，让中、小企业也可以非常方便地拥有自己的免费云WAF。核心基于openresty + lua开发，waf管理后台：采用golang + xorm + macrom开发的，支持二进制的形式部署。

项目地址：https://github.com/xsec-lab/x-waf

10、VeryNginx

VeryNginx 也是基于 lua_Nginx_module(openrestry) 开发，实现了高级的防火墙、访问统计和其他的一些功能。 集成在 Nginx 中运行，扩展了 Nginx 本身的功能，并提供了友好的 WEB 交互界面。

项目地址：https://github.com/alexazhou/VeryNginx/

11、GOODWAF
GOODWAF是一款国内开发的免费云waf产品，基于云端开发，用户只需要注册添加域名、ip等信息，并解析域名就可以，非常简单好用，并且所有功能都是免费的，本人亲测，具备cc防护、xss跨站攻击防护、webshell防护、SQL注入防护等传统防护功能。同时还具备态势感知3D大屏，随时能监控攻击来源等信息。还创新了主动防护功能，具备网页源代码加密、JS混淆、动态令牌等功能，能有效防护网站安全，也有cdn功能，能加速网站打开。因为是国内开发的，所以会比国外开发的用起来舒服很多，没有付费的地方，推荐大家使用。

项目地址：https://www.goodwaf.cn/

12、Cloudflare
Cloudflare也是一款比较好用的云waf产品，是一家美国厂商开发的，cloudflare具有防火墙、DDoS 保护、Rate limiting、机器人管理、v*n 等功能。同时cloudflare还具有自动waf更新功能，当发现适用于大部分用户的威胁时，会自动应用 WAF 规则来保护用户的Internet 资产。但是目前免费的功能只有DDOS防护了，waf功能需要付费才能使用。

项目地址：https://www.cloudflare-cn.com/

评价：

1、目前商业防火墙基本千篇一律的Nginx模块，真正有完整源码的很少，hihttps算一个。

2、传统的WAF规则已经很难对付未知漏洞和未知攻击，机器深度学习自动防御很可能是唯一有效途径，但真正具有人工智能的WAF还有很长的路。