WAF 是 Web Application Firewall 的縮寫，也被稱為 Web 應(yīng)用防火墻。區(qū)別于傳統(tǒng)防火墻，WAF 工作在應(yīng)用層，對(duì)基于 HTTP/HTTPS 協(xié)議的 Web 系統(tǒng)有著更好的防護(hù)效果，使其免于受到黑客的攻擊。

近幾年經(jīng)濟(jì)增速開(kāi)始放緩，科技企業(yè)的成本意識(shí)有所增強(qiáng)，安全支出更加理性，這使得國(guó)內(nèi)的開(kāi)源安全項(xiàng)目得到了一定發(fā)展，從 github waf 相關(guān) topic 的活躍度來(lái)看，排名靠前的國(guó)產(chǎn)項(xiàng)目超過(guò)了海外項(xiàng)目。

在互聯(lián)網(wǎng)上公開(kāi)能找到資料的 WAF 項(xiàng)目少說(shuō)也有幾千個(gè)，但其中絕大部分偏實(shí)驗(yàn) Demo 的性質(zhì)，工程性不足，缺少部署案例，沒(méi)有經(jīng)歷過(guò)大規(guī)模流量的驗(yàn)證，實(shí)際能稱得上產(chǎn)品的項(xiàng)目不到百分之一。翻閱了大量資料，對(duì)這幾十款 WAF 產(chǎn)品進(jìn)行實(shí)際部署測(cè)試后，我選取了其中十個(gè)具有代表意義的項(xiàng)目，下文將逐一進(jìn)行介紹。

評(píng)價(jià) WAF 的常用指標(biāo)

作為網(wǎng)站管理員，應(yīng)該如何選擇一款適合自己的 WAF，以下是幾個(gè)最常關(guān)注的指標(biāo)

• 防護(hù)效果：主要是兩個(gè)維度，能不能防住攻擊，會(huì)不會(huì)影響普通用戶
• 技術(shù)先進(jìn)性：防護(hù)引擎的技術(shù)競(jìng)爭(zhēng)力，是否具備對(duì)抗高級(jí)攻擊的能力
• 項(xiàng)目質(zhì)量：本文將以功能完整性、開(kāi)源代碼質(zhì)量、文檔完整性等角度作為評(píng)價(jià)依據(jù)
• 社區(qū)認(rèn)可度：反映了項(xiàng)目在用戶社區(qū)中的聲譽(yù)和影響力，本文將以 GitHub Star 數(shù)作為評(píng)價(jià)依據(jù)
• 社區(qū)活躍度：是潛力的體現(xiàn)，活躍度越高發(fā)展越快，本文將以社區(qū)用戶的參與度和作者維護(hù)項(xiàng)目的積極性作為評(píng)價(jià)依據(jù)

項(xiàng)目清單

先來(lái)看綜合評(píng)分表

ModSecurity

主頁(yè)：https://www.modsecurity.org/

ModSecurity 是老牌開(kāi)源 WAF 引擎，使用群體廣，早年只適用于 Apache，在 2.X 重構(gòu)后目前也可以支持 IIS 和 Nginx。作為 WAF 引擎，相比一體化的 WAF 項(xiàng)目，需要二次開(kāi)發(fā)才能試用，對(duì)使用者來(lái)說(shuō)成本略高。ModSecurity 被不少其他開(kāi)源 WAF 作為核心引擎所集成，在開(kāi)源社區(qū)認(rèn)可度高，實(shí)際防護(hù)以正則規(guī)則為主，覆蓋相對(duì)全面，但容易被繞過(guò)，前段時(shí)間被母公司拋棄了，未來(lái)是否會(huì)繼續(xù)維護(hù)下去暫未可知。

image

• 防護(hù)效果：基礎(chǔ)檢測(cè)效果不錯(cuò)，但是規(guī)則對(duì)國(guó)內(nèi)的環(huán)境不友好，容易誤報(bào)
• 技術(shù)先進(jìn)性：雖然沒(méi)有高級(jí)對(duì)抗能力，但在技術(shù)圈認(rèn)可度高，被眾多開(kāi)源項(xiàng)目集成，生態(tài)即技術(shù)壁壘
• 項(xiàng)目質(zhì)量：無(wú)控制臺(tái)，項(xiàng)目完全開(kāi)源，文檔豐富
• 社區(qū)認(rèn)可度：6400 star，是目前全球 star 數(shù)最高的 WAF 項(xiàng)目
• 社區(qū)活躍度：持續(xù)有更新，近一年更新過(guò) 3 個(gè)版本

雷池社區(qū)版

主頁(yè)：https://waf-ce.chaitin.cn/

雷池社區(qū)版是長(zhǎng)亭科技根據(jù)企業(yè)版雷池 Web 應(yīng)用防護(hù)系統(tǒng)提煉而來(lái)，核心檢測(cè)能力由長(zhǎng)亭首創(chuàng)的智能語(yǔ)義分析算法驅(qū)動(dòng)。項(xiàng)目開(kāi)源了語(yǔ)義分析算法的核心引擎和相關(guān)安全插件，控制臺(tái)未開(kāi)源。優(yōu)點(diǎn)在于防護(hù)效果好，項(xiàng)目迭代快，界面清爽好用，缺點(diǎn)在于社區(qū)版相比企業(yè)版功能較少，但能滿足 WAF 的基本需求。

image

• 防護(hù)效果：對(duì)通用漏洞和非通用漏洞的防護(hù)效果都不錯(cuò)，誤報(bào)少
• 技術(shù)先進(jìn)性：核心技術(shù)是語(yǔ)義分析算法，相比正則規(guī)則的可對(duì)抗性更高、性能更好
• 項(xiàng)目質(zhì)量：具備 WAF 各項(xiàng)基礎(chǔ)能力，項(xiàng)目未完全開(kāi)源，文檔相對(duì)完善
• 社區(qū)認(rèn)可度：1500 star，裝機(jī)量 4000+
• 社區(qū)活躍度：持續(xù)有更新，近一年更新過(guò) 15 個(gè)版本

Coraza

主頁(yè)：https://coraza.io/

Coraza 是一個(gè)開(kāi)源、高性能的 WAF 引擎，使用 Go 語(yǔ)言編寫，支持 ModSecurity SecLang 規(guī)則集，并且與 OWASP 核心規(guī)則集完全兼容，與 ModSecurity 一樣不提供界面，只作為檢測(cè)引擎，需要二次開(kāi)發(fā)才能試用，有機(jī)會(huì)成為 ModSecurity 的替代品。

image

• 防護(hù)效果：基礎(chǔ)檢測(cè)能力尚可，缺少對(duì)于非通用漏洞的防護(hù)規(guī)則，容易誤報(bào)
• 技術(shù)先進(jìn)性：檢測(cè)規(guī)則依賴 LibInjection、ModSecurity、OWASP 項(xiàng)目
• 項(xiàng)目質(zhì)量：無(wú)控制臺(tái)，項(xiàng)目完全開(kāi)源，文檔豐富
• 社區(qū)認(rèn)可度：1200 Star
• 社區(qū)活躍度：持續(xù)有更新，近一年更新過(guò) 4 個(gè)版本

VeryNginx

主頁(yè)：https://github.com/alexazhou/VeryNginx

VeryNginx 是一款與 Nginx 深度集成的 WAF 擴(kuò)展程序，相比其他 Nginx 擴(kuò)展，VeryNginx 是為數(shù)不多提供了控制臺(tái)的 WAF 項(xiàng)目。VeryNginx 沒(méi)有提供核心檢測(cè)引擎，規(guī)則部分依賴第三方庫(kù)。VeryNginx 在 github 有 5900 star，是國(guó)產(chǎn) WAF 項(xiàng)目中 star 數(shù)最高的項(xiàng)目，最大的問(wèn)題是該項(xiàng)目年久失修，規(guī)則庫(kù)也多年不更新，項(xiàng)目基本停止維護(hù)，非常可惜。

image

• 防護(hù)效果：規(guī)則簡(jiǎn)單，具備基礎(chǔ)防護(hù)能力，但有點(diǎn)過(guò)時(shí)，規(guī)則庫(kù) 7 年未更新過(guò)
• 技術(shù)先進(jìn)性：檢測(cè)規(guī)則以來(lái)第三方的 ngx_lua_waf 項(xiàng)目
• 項(xiàng)目質(zhì)量：具備 WAF 各項(xiàng)基礎(chǔ)能力，項(xiàng)目完全開(kāi)源，文檔相對(duì)完善
• 社區(qū)認(rèn)可度：5900 Star
• 社區(qū)活躍度：4 年未更新

NAXSI

主頁(yè)：[https://github.com/nbs-system/naxsi](https://github.com/nbs-system/naxsi)

NAXSI 是一款專為 Nginx 而生的 WAF 引擎，輸出形態(tài)是 Nginx 動(dòng)態(tài)擴(kuò)展，編譯后修改 Nginx 配置文件即可生效。NAXSI 不提供控制臺(tái)，作為 WAF 引擎，用起來(lái)沒(méi)有 ModSecurity 那么麻煩，但相比一體化的 WAF 項(xiàng)目使用成本任然較高。檢測(cè)能力依賴 LibInjection 項(xiàng)目，只支持 SQL 注入和 XSS 檢測(cè)，不推薦在線上使用。

image

• 防護(hù)效果：對(duì)通用漏洞的檢出率比較高，但誤報(bào)也高的離譜，僅支持 SQL 注入和 XSS 檢測(cè)
• 技術(shù)先進(jìn)性：核心能力依賴了 LibInjection 項(xiàng)目
• 項(xiàng)目質(zhì)量：無(wú)控制臺(tái)，項(xiàng)目完全開(kāi)源，文檔豐富
• 社區(qū)認(rèn)可度：4300 Star
• 社區(qū)活躍度：偶爾有更新，基本不維護(hù)

NGX_WAF

主頁(yè)：https://github.com/ADD-SPngx_waf

NGX_WAF 是一款國(guó)產(chǎn)的 Nginx 擴(kuò)展類型的 WAF 引擎項(xiàng)目（這類的項(xiàng)目真多）。NGX_WAF 不提供控制臺(tái)，作為 WAF 引擎，用起來(lái)沒(méi)有 ModSecurity 那么麻煩，但相比一體化的 WAF 項(xiàng)目使用成本任然較高。NGX_WAF 的核心能力基于 LibInjection 和 ModSecurity，和其他引用了第三方開(kāi)源規(guī)則庫(kù)的 WAF 項(xiàng)目相同，海外規(guī)則庫(kù)對(duì)國(guó)內(nèi)互聯(lián)網(wǎng)環(huán)境適配性不太好，容易誤報(bào)，缺少針對(duì)非通用性漏洞的規(guī)則。

image

• 防護(hù)效果：基礎(chǔ)檢測(cè)能力尚可，缺少對(duì)于非通用漏洞的防護(hù)規(guī)則，容易誤報(bào)
• 技術(shù)先進(jìn)性：檢測(cè)規(guī)則依賴 LibInjection 和 ModSecurity 項(xiàng)目
• 項(xiàng)目質(zhì)量：無(wú)控制臺(tái)，項(xiàng)目完全開(kāi)源，文檔較少
• 社區(qū)認(rèn)可度：1300 Star
• 社區(qū)活躍度：偶爾有更新，近一年更新過(guò) 2 個(gè)版本

南墻

主頁(yè)：[https://waf.uusec.com/](https://waf.uusec.com/)

南墻 WEB 應(yīng)用防火墻（簡(jiǎn)稱：uuWAF）是有安科技推出的一款全方位網(wǎng)站防護(hù)產(chǎn)品。通過(guò)有安科技專有的WEB入侵異常檢測(cè)等技術(shù)，結(jié)合有安科技團(tuán)隊(duì)多年應(yīng)用安全的攻防理論和應(yīng)急響應(yīng)實(shí)踐經(jīng)驗(yàn)積累的基礎(chǔ)上自主研發(fā)而成，缺點(diǎn)在于不能升級(jí)，有新版本要鏟掉重裝。

image

• 防護(hù)效果：對(duì) SQL、XSS、RCE、LFI 這四種攻擊檢測(cè)效果不錯(cuò)，缺少對(duì)于非通用漏洞的防護(hù)規(guī)則
• 技術(shù)先進(jìn)性：具備基礎(chǔ)的語(yǔ)義檢測(cè)能力，支持通過(guò)機(jī)器學(xué)習(xí)對(duì)流量建模
• 項(xiàng)目質(zhì)量：具備 WAF 各項(xiàng)基礎(chǔ)能力，項(xiàng)目不開(kāi)源，文檔相對(duì)完善
• 社區(qū)認(rèn)可度：198 Star
• 社區(qū)活躍度：迭代較快，近一年更新過(guò) 7 個(gè)版本

JANUSEC

主頁(yè)：https://www.janusec.com/

JANUSEC 是一個(gè)開(kāi)源的 Web 應(yīng)用安全網(wǎng)關(guān)軟件，優(yōu)勢(shì)在于功能豐富，同時(shí)具備負(fù)載均衡、WAF、身份認(rèn)證、證書管理、堡壘機(jī)等功能，缺點(diǎn)是 WAF 的安全防護(hù)能力比較弱，只能防護(hù)一些簡(jiǎn)單的攻擊，適合對(duì)安全防護(hù)要求不高的站長(zhǎng)。

image

• 防護(hù)效果：WAF 防護(hù)功能比較弱，只有一些簡(jiǎn)單的正則規(guī)則
• 技術(shù)先進(jìn)性：以正則表達(dá)式為主，無(wú)其他防護(hù)引擎，對(duì)抗高強(qiáng)度攻擊的能力不足
• 項(xiàng)目質(zhì)量：功能豐富，項(xiàng)目開(kāi)源，文檔豐富
• 社區(qū)認(rèn)可度：1000 Star
• 社區(qū)活躍度：持續(xù)有更新，近一年更新過(guò) 4 個(gè)版本

HTTPWAF

主頁(yè)：https://github.com/httpwaf/httpwaf2.0

HTTPWAF 官方號(hào)稱是一款真正有 web 管理后臺(tái)，并且永久免費(fèi)的 web 應(yīng)用防火墻，既支持直接部署在 WEB 服務(wù)器上，又可以獨(dú)立部署保護(hù)后端服務(wù)器。在免費(fèi) WAF 界算是功能很豐富的項(xiàng)目，基礎(chǔ)檢測(cè)能力還可以，缺乏對(duì)抗高強(qiáng)度攻擊的能力。作為免費(fèi)產(chǎn)品，源碼、文檔、安裝包均沒(méi)有公開(kāi)提供，要加微信獲取。

image

• 防護(hù)效果：基礎(chǔ)防護(hù)能力還可以，缺少對(duì)非通用漏洞的檢測(cè)規(guī)則
• 技術(shù)先進(jìn)性：資料很少，做不出判斷
• 項(xiàng)目質(zhì)量：功能豐富，交互還不錯(cuò)，但是代碼和文檔都沒(méi)有開(kāi)放
• 社區(qū)認(rèn)可度：65 Star
• 社區(qū)活躍度：沒(méi)有太多社區(qū)化的內(nèi)容

錦衣盾

主頁(yè)：https://www.jxwaf.com/

錦衣盾（JXWAF）是一款基于 OpenResty 開(kāi)發(fā)的下一代 Web 應(yīng)用防火墻，獨(dú)創(chuàng)的業(yè)務(wù)邏輯防護(hù)引擎和機(jī)器學(xué)習(xí)引擎可以有效對(duì)業(yè)務(wù)安全風(fēng)險(xiǎn)進(jìn)行防護(hù)，解決傳統(tǒng) WAF 無(wú)法對(duì)業(yè)務(wù)安全進(jìn)行防護(hù)的痛點(diǎn)。

image

• 防護(hù)效果：基礎(chǔ)防護(hù)能力較弱，對(duì)非通用漏洞的檢測(cè)效果不太好，誤報(bào)有點(diǎn)嚴(yán)重
• 技術(shù)先進(jìn)性：規(guī)則簡(jiǎn)單，對(duì)抗高強(qiáng)度攻擊的能力不足
• 項(xiàng)目質(zhì)量：功能比較少，交互不太好用，項(xiàng)目開(kāi)源，代碼質(zhì)量不高，文檔基本完善
• 社區(qū)認(rèn)可度：965 Star
• 社區(qū)活躍度：持續(xù)有更新，近一年更新過(guò) 1 個(gè)版本

原文地址：https://stack.chaitin.com/techblog/detail?id=115