2023年,数字经济将强势崛起,并且成为新一轮经济发展的动力,传统的黑客破坏性如CC,转为更隐蔽的如0day进行APT。所以无论私有服务器还是云厂商如Cloudflare、阿里云、腾讯云等都把web应用防火墙(WAF)作为网络安全的必配核心保护设施。
市场上99%的商业web应用防火墙(WAF)都是闭源,开源WAF虽多,但能直接实战部署的极少,可以对抗未知漏洞的更是极其罕见。笔者搜遍了github和gitee,整理出下面几款能部署的web应用防火墙给大家收藏,一定有用的。
1、HTTPWAF
httpwaf是一款目前极其少有带web管理后台,提供永久免费版本的web应用防火墙。可以直接在生产环境部署的,支持自定义规则和未知漏洞检测。优点是使用简单,1分钟就可以完成部署。缺点是:为了安全不联网,升级等只能手动进行。
项目地址:https://github.com/httpwaf/ 或者 :https://gitee.com/httpwaf/
2、ModSecurity
ModSecurity是一个C++语言编写的,开源的、跨平台的Web应用防火墙(WAF),这个项目在2004年就启动了,可谓是WAF界的鼻祖,当初影响力并不大,随着时间的推移,越来越多的web应用需要部署防火墙就火起来了,很多其他WAF产品都或多或少受其影响,就开始来抄他。主要原因是安全社区OWASP很早就开发和维护着一套免费的保护规则,(又称ModSecurity的核心规则集),其优点是:规则对抗已知漏洞尚可。缺点是:无法对抗未知漏洞,且某些环境误报率很高。
项目地址:https://github.com/SpiderLabs/ModSecurity
3、OpenResty+lua系列
OpenResty是以nginx+lua脚本语言为核心,可以扩展很多第三方模块的web应用服务器,其中也有很多web应用防火墙的模块,如unixhot、loveshell、openwaf、verynginx等。优点是:lua语言二次编写过滤脚本简单。缺点:底层nginx修改非常复杂,而lua脚本语言,在人工智能算法、智能语义解析上很难和其他语言的生态相比,github上大多是技术研究型的半成品,离商业级的实战产品还需要大量技术和人力投入。
项目地址:https://github.com/openresty/
4、Janusec
Janusec是用go语言原创的Web应用网关,同时提供了WAF功能,拦截SQL注入/XSS/敏感数据泄露/CC防御等。JANUSEC应用网关提供了一个可供用户自行配置规则的基础设施,并预置了常见的Web高危漏洞的拦截规则。与其他WAF相比,JANUSEC应用网关的WAF除了支持传统的单检查点的规则外,还支持多个检查点联动的组合规则,这让防御更加灵活。。
项目地址:https://github.com/Janusec/Application-Gateway
5、AIHTTPS
aihttps是hihttps的升级版,特点是兼容ModSecurity规则,用智能语义解析实现对未知漏洞的发现,并且已经向人工智能方向进化:使用机器学习自主生成对抗规则,来防御包括:恶意扫描、CC 、DDOS、SQL注入、XSS等。其商业版也开源,是目前商业化开源程度最高的WAF。
项目地址:https://github.com/ 搜索hihttps或 官网:http://www.hihttps.com
总结:
可以确定的是:aihttps等对高级APT未知漏洞的检测能力,将成为2023网络安全行业的发展趋势。网络已经上升到国家之间的情报对抗,技术无国界,但网络安全从业者有国界,无论安全技术如何发展,笔者始终站在祖国的一边。
标签:web,github,WAF,防火墙,开源,https,2023,com From: https://blog.51cto.com/u_14678079/6035810