盤點 2023 十大免費開源 WAF
WAF 是 Web Application Firewall 的縮寫,也被稱為 Web 應用防火墻。區別于傳統防火墻,WAF 工作在應用層,對基于 HTTP/HTTPS 協議的 Web 系統有著更好的防護效果,使其免于受到黑客的攻擊。
近幾年經濟增速開始放緩,科技企業的成本意識有所增強,安全支出更加理性,這使得國內的開源安全項目得到了一定發展,從 github waf 相關 topic 的活躍度來看,排名靠前的國產項目超過了海外項目。
在互聯網上公開能找到資料的 WAF 項目少說也有幾千個,但其中絕大部分偏實驗 Demo 的性質,工程性不足,缺少部署案例,沒有經歷過大規模流量的驗證,實際能稱得上產品的項目不到百分之一。翻閱了大量資料,對這幾十款 WAF 產品進行實際部署測試后,我選取了其中十個具有代表意義的項目,下文將逐一進行介紹。
評價 WAF 的常用指標
作為網站管理員,應該如何選擇一款適合自己的 WAF,以下是幾個最常關注的指標
- 防護效果:主要是兩個維度,能不能防住攻擊,會不會影響普通用戶
- 技術先進性:防護引擎的技術競爭力,是否具備對抗高級攻擊的能力
- 項目質量:本文將以功能完整性、開源代碼質量、文檔完整性等角度作為評價依據
- 社區認可度:反映了項目在用戶社區中的聲譽和影響力,本文將以 GitHub Star 數作為評價依據
- 社區活躍度:是潛力的體現,活躍度越高發展越快,本文將以社區用戶的參與度和作者維護項目的積極性作為評價依據
項目清單
先來看綜合評分表
項目名稱 | 開發者 | 綜合評分 |
ModSecurity | SpiderLabs | ?????????? |
雷池社區版 | 長亭科技 | ???????? |
coraza | coraza | ???????? |
南墻 | 友安科技 | ?????? |
JANUSEC | JANUSEC | ?????? |
VeryNginx | loveshell | ???? |
httpwaf | 閑人 | ???? |
錦衣盾 | jx-sec | ?? |
NGX_WAF | ADD-SP | ?? |
NAXSI | NBS SYSTEM | ?? |
ModSecurity
主頁:https://www.modsecurity.org/
ModSecurity 是老牌開源 WAF 引擎,使用群體廣,早年只適用于 Apache,在 2.X 重構后目前也可以支持 IIS 和 Nginx。作為 WAF 引擎,相比一體化的 WAF 項目,需要二次開發才能試用,對使用者來說成本略高。ModSecurity 被不少其他開源 WAF 作為核心引擎所集成,在開源社區認可度高,實際防護以正則規則為主,覆蓋相對全面,但容易被繞過,前段時間被母公司拋棄了,未來是否會繼續維護下去暫未可知。
image
- 防護效果:基礎檢測效果不錯,但是規則對國內的環境不友好,容易誤報
- 技術先進性:雖然沒有高級對抗能力,但在技術圈認可度高,被眾多開源項目集成,生態即技術壁壘
- 項目質量:無控制臺,項目完全開源,文檔豐富
- 社區認可度:6400 star,是目前全球 star 數最高的 WAF 項目
- 社區活躍度:持續有更新,近一年更新過 3 個版本
雷池社區版
雷池社區版是長亭科技根據企業版雷池 Web 應用防護系統提煉而來,核心檢測能力由長亭首創的智能語義分析算法驅動。項目開源了語義分析算法的核心引擎和相關安全插件,控制臺未開源。優點在于防護效果好,項目迭代快,界面清爽好用,缺點在于社區版相比企業版功能較少,但能滿足 WAF 的基本需求。
image
- 防護效果:對通用漏洞和非通用漏洞的防護效果都不錯,誤報少
- 技術先進性:核心技術是語義分析算法,相比正則規則的可對抗性更高、性能更好
- 項目質量:具備 WAF 各項基礎能力,項目未完全開源,文檔相對完善
- 社區認可度:1500 star,裝機量 4000+
- 社區活躍度:持續有更新,近一年更新過 15 個版本
Coraza
Coraza 是一個開源、高性能的 WAF 引擎,使用 Go 語言編寫,支持 ModSecurity SecLang 規則集,并且與 OWASP 核心規則集完全兼容,與 ModSecurity 一樣不提供界面,只作為檢測引擎,需要二次開發才能試用,有機會成為 ModSecurity 的替代品。
image
- 防護效果:基礎檢測能力尚可,缺少對于非通用漏洞的防護規則,容易誤報
- 技術先進性:檢測規則依賴 LibInjection、ModSecurity、OWASP 項目
- 項目質量:無控制臺,項目完全開源,文檔豐富
- 社區認可度:1200 Star
- 社區活躍度:持續有更新,近一年更新過 4 個版本
VeryNginx
主頁:https://github.com/alexazhou/VeryNginx
VeryNginx 是一款與 Nginx 深度集成的 WAF 擴展程序,相比其他 Nginx 擴展,VeryNginx 是為數不多提供了控制臺的 WAF 項目。VeryNginx 沒有提供核心檢測引擎,規則部分依賴第三方庫。VeryNginx 在 github 有 5900 star,是國產 WAF 項目中 star 數最高的項目,最大的問題是該項目年久失修,規則庫也多年不更新,項目基本停止維護,非常可惜。
image
- 防護效果:規則簡單,具備基礎防護能力,但有點過時,規則庫 7 年未更新過
- 技術先進性:檢測規則以來第三方的 ngx_lua_waf 項目
- 項目質量:具備 WAF 各項基礎能力,項目完全開源,文檔相對完善
- 社區認可度:5900 Star
- 社區活躍度:4 年未更新
NAXSI
主頁:[https://github.com/nbs-system/naxsi](https://github.com/nbs-system/naxsi)
NAXSI 是一款專為 Nginx 而生的 WAF 引擎,輸出形態是 Nginx 動態擴展,編譯后修改 Nginx 配置文件即可生效。NAXSI 不提供控制臺,作為 WAF 引擎,用起來沒有 ModSecurity 那么麻煩,但相比一體化的 WAF 項目使用成本任然較高。檢測能力依賴 LibInjection 項目,只支持 SQL 注入和 XSS 檢測,不推薦在線上使用。
image
- 防護效果:對通用漏洞的檢出率比較高,但誤報也高的離譜,僅支持 SQL 注入和 XSS 檢測
- 技術先進性:核心能力依賴了 LibInjection 項目
- 項目質量:無控制臺,項目完全開源,文檔豐富
- 社區認可度:4300 Star
- 社區活躍度:偶爾有更新,基本不維護
NGX_WAF
主頁:https://github.com/ADD-SPngx_waf
NGX_WAF 是一款國產的 Nginx 擴展類型的 WAF 引擎項目(這類的項目真多)。NGX_WAF 不提供控制臺,作為 WAF 引擎,用起來沒有 ModSecurity 那么麻煩,但相比一體化的 WAF 項目使用成本任然較高。NGX_WAF 的核心能力基于 LibInjection 和 ModSecurity,和其他引用了第三方開源規則庫的 WAF 項目相同,海外規則庫對國內互聯網環境適配性不太好,容易誤報,缺少針對非通用性漏洞的規則。
image
- 防護效果:基礎檢測能力尚可,缺少對于非通用漏洞的防護規則,容易誤報
- 技術先進性:檢測規則依賴 LibInjection 和 ModSecurity 項目
- 項目質量:無控制臺,項目完全開源,文檔較少
- 社區認可度:1300 Star
- 社區活躍度:偶爾有更新,近一年更新過 2 個版本
南墻
主頁:[https://waf.uusec.com/](https://waf.uusec.com/)
南墻 WEB 應用防火墻(簡稱:uuWAF)是有安科技推出的一款全方位網站防護產品。通過有安科技專有的WEB入侵異常檢測等技術,結合有安科技團隊多年應用安全的攻防理論和應急響應實踐經驗積累的基礎上自主研發而成,缺點在于不能升級,有新版本要鏟掉重裝。
image
- 防護效果:對 SQL、XSS、RCE、LFI 這四種攻擊檢測效果不錯,缺少對于非通用漏洞的防護規則
- 技術先進性:具備基礎的語義檢測能力,支持通過機器學習對流量建模
- 項目質量:具備 WAF 各項基礎能力,項目不開源,文檔相對完善
- 社區認可度:198 Star
- 社區活躍度:迭代較快,近一年更新過 7 個版本
JANUSEC
JANUSEC 是一個開源的 Web 應用安全網關軟件,優勢在于功能豐富,同時具備負載均衡、WAF、身份認證、證書管理、堡壘機等功能,缺點是 WAF 的安全防護能力比較弱,只能防護一些簡單的攻擊,適合對安全防護要求不高的站長。
image
- 防護效果:WAF 防護功能比較弱,只有一些簡單的正則規則
- 技術先進性:以正則表達式為主,無其他防護引擎,對抗高強度攻擊的能力不足
- 項目質量:功能豐富,項目開源,文檔豐富
- 社區認可度:1000 Star
- 社區活躍度:持續有更新,近一年更新過 4 個版本
HTTPWAF
主頁:https://github.com/httpwaf/httpwaf2.0
HTTPWAF 官方號稱是一款真正有 web 管理后臺,并且永久免費的 web 應用防火墻,既支持直接部署在 WEB 服務器上,又可以獨立部署保護后端服務器。在免費 WAF 界算是功能很豐富的項目,基礎檢測能力還可以,缺乏對抗高強度攻擊的能力。作為免費產品,源碼、文檔、安裝包均沒有公開提供,要加微信獲取。
image
- 防護效果:基礎防護能力還可以,缺少對非通用漏洞的檢測規則
- 技術先進性:資料很少,做不出判斷
- 項目質量:功能豐富,交互還不錯,但是代碼和文檔都沒有開放
- 社區認可度:65 Star
- 社區活躍度:沒有太多社區化的內容
錦衣盾
錦衣盾(JXWAF)是一款基于 OpenResty 開發的下一代 Web 應用防火墻,獨創的業務邏輯防護引擎和機器學習引擎可以有效對業務安全風險進行防護,解決傳統 WAF 無法對業務安全進行防護的痛點。
image
- 防護效果:基礎防護能力較弱,對非通用漏洞的檢測效果不太好,誤報有點嚴重
- 技術先進性:規則簡單,對抗高強度攻擊的能力不足
- 項目質量:功能比較少,交互不太好用,項目開源,代碼質量不高,文檔基本完善
- 社區認可度:965 Star
- 社區活躍度:持續有更新,近一年更新過 1 個版本
原文地址:https://stack.chaitin.com/techblog/detail?id=115
