2023年推荐几款开源或免费的web应用防火墙

2023年，数字经济将强势崛起，并且成为新一轮经济发展的动力，传统的黑客破坏性攻击如CC，转为更隐蔽的如0day进行APT渗透。所以无论私有服务器还是云厂商如Cloudflare、阿里云、腾讯云等都把web应用防火墙（WAF）作为网络安全的必配核心保护设施。 市场上99%的商业web应用防火墙（WAF）都是闭源，开源WAF虽多，但能直接实战部署的极少，可以对抗未知攻击的更是极其罕见。笔者搜遍了github和gitee，整理出下面几款能部署的web应用防火墙给大家收藏，一定有用的。

1、HTTPWAF httpwaf是一款目前极其少有带web管理后台，提供永久免费版本的web应用防火墙。可以直接在生产环境部署的，支持自定义规则和未知攻击检测。优点是使用简单，1分钟就可以完成部署。缺点是：为了安全不联网，升级等只能手动进行。 项目地址：https://github.com/httpwaf/ 或者 ：https://gitee.com/httpwaf/

2、ModSecurity ModSecurity是一个C++语言编写的，开源的、跨平台的Web应用防火墙（WAF），这个项目在2004年就启动了，可谓是WAF界的鼻祖，当初影响力并不大，随着时间的推移，越来越多的web应用需要部署防火墙就火起来了，很多其他WAF产品都或多或少受其影响，就开始来抄他。主要原因是安全社区OWASP很早就开发和维护着一套免费的保护规则，（又称ModSecurity的核心规则集)，其优点是：规则对抗已知攻击尚可。缺点是：无法对抗未知攻击，且某些环境误报率很高。 项目地址：https://github.com/SpiderLabs/ModSecurity

3、OpenResty+lua系列 OpenResty是以nginx+lua脚本语言为核心，可以扩展很多第三方模块的web应用服务器， 其中也有很多web应用防火墙的模块，如unixhot、loveshell、openwaf、verynginx等。优点是：lua语言二次编写过滤脚本简单。缺点：底层nginx修改非常复杂，而lua脚本语言，在人工智能算法、智能语义解析上很难和其他语言的生态相比，github上大多是技术研究型的半成品，离商业级的实战产品还需要大量技术和人力投入。 项目地址：https://github.com/openresty/

4、Janusec Janusec是用go语言原创的Web应用网关，同时提供了WAF功能，拦截SQL注入/XSS/敏感数据泄露/CC防御等。JANUSEC应用网关提供了一个可供用户自行配置规则的基础设施，并预置了常见的Web高危漏洞的拦截规则。与其他WAF相比，JANUSEC应用网关的WAF除了支持传统的单检查点的规则外，还支持多个检查点联动的组合规则，这让防御更加灵活。。 项目地址：https://github.com/Janusec/Application-Gateway

5、AIHTTPS aihttps是hihttps的升级版，特点是兼容ModSecurity规则，用智能语义解析实现对未知漏洞的发现，并且已经向未知攻击发现方向进化：使用机器学习自主生成对抗规则，来防御包括：恶意扫描、CC 、DDOS、SQL注入、XSS等。其商业版也开源，是目前商业化开源程度最高的web应用防火墙。 项目地址：https://github.com/qq4108863/ 官网：http://www.hihttps.com

总结：

可以确定的是：aihttps等对高级APT未知攻击的检测能力，将成为2023网络安全行业的发展趋势。网络攻防已经上升到国家之间的情报对抗，技术无国界，但网络安全从业者有国界，无论web安全技术如何发展，笔者始终站在祖国的一边。