常见WAF_WEB应用防火墙_运维必备_应用安全

全栈程序员-用户IM • 2022年6月2日下午3:00 • 未分类

大家好，又见面了，我是你们的朋友全栈君。

排名无先后，只做汇总统计，方便各位管理服务器安全

Web应用防护系统（也称为：网站应用级入侵防御系统。英文：Web Application Firewall，简称： WAF），与传统防火墙不同，WAF工作在应用层，因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解，WAF对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。

1 ModSecurity

http://www.modsecurity.cn/

ModSecurity是目前世界上使用最多的开源WAF产品，可谓是WAF界的鼻祖，很多其他WAF产品都或多或少受其影响，如OpenWAF

2 ShareWAF

ShareWAF，是一款动态防御WAF（Web应用防火墙）、也是功能强大的下一代WAF。是用于Web安全防护、防止各种网络攻击的网站防护利器。

http://www.sharewaf.com/

3 GOODWAF

免费云WEB应用防火墙，全面防御web/SQL/XSS/0day/爬虫等攻击，具备防篡改，防数据泄露，防盗链等功能，终身免费使用，保护企业web业务安全

https://www.goodwaf.cn/

4 HiHTTPS

HiHTTPS是一款高性能Web安全SSL防火墙，[开源版提供基础防护功能] [专业版提供高级防护功能]

https://gitee.com/hihttps/hihttps

5 OpenWAF

第一个全方位开源的Web应用防护系统（WAF），更全面的防护功能，更多样的防护策略

https://gitee.com/miracleqi/OpenWAF

6 OpenRASP （不同于WAF）

https://rasp.baidu.com/

百度安全推出的一款免费、开源的应用运行时自我保护产品

OpenRASP 抛弃了传统防火墙依赖请求特征检测攻击的模式，创造性的使用RASP技术（应用运行时自我保护），直接注入到被保护应用的服务中提供函数级别的实时防护，可以在不更新策略以及不升级被保护应用代码的情况下检测/防护未知漏洞，尤其适合大量使用开源组件的互联网应用以及使用第三方集成商开发的金融类应用。

另外，OpenRASP 提供的IAST解决方案，相比于与传统的DAST方案有着革命性提升。漏洞检测无需动态爬虫或者旁路代理，扫描更全面；结合应用探针准确的识别漏洞类型，通过针对性扫描大幅度提升检测效率；商业版新增的动态污点追踪能力，还可以在不扫描的情况下，预判接口是否存在漏洞。