El waf de código abierto es una parte importante de la seguridad de la red. Cloudflare cree que: diez años después, la infraestructura de seguridad de la red de la economía digital será tan popular como un sistema de filtración de agua, y el núcleo de este sistema de filtración es waf. Para los servidores, es muy importante implementar firewalls de aplicaciones WEB. Hay muchos wafs de código abierto en esta área, pero muy pocos excelentes. Después de muchas búsquedas, y combinado con el entusiasmo del mercado, el autor clasificó los diez mejores wafs de código abierto en 2021 para su referencia.
1. OpenResty
OpenResty fue iniciado por el chino Zhang Yichun. Es una plataforma de software empaquetada con nginx y varios módulos de terceros. El núcleo es el lenguaje de scripting nginx + lua. Principalmente porque nginx está escrito en lenguaje C y su modificación es muy complicada, mientras que el lenguaje lua es mucho más sencillo, muchas grandes empresas nacionales como 360, JD, gitee, etc. se utilizan como firewalls de aplicaciones web.
Dirección del proyecto: https://github.com/openresty/
2. AIHTTPS
aihttps es una versión mejorada de hihttps, también escrita en chino. Se caracteriza por la compatibilidad con las reglas de ModSecurity y ha evolucionado en la dirección de la inteligencia artificial: utilizando el aprendizaje automático para generar de manera autónoma reglas de confrontación para defenderse: escaneo de vulnerabilidades, CC, DDOS, inyección SQL, XSS, etc. Su versión comercial también es de código abierto, y actualmente es el WAF con mayor grado de código abierto comercial.
Dirección del proyecto: https://github.com/qq4108863/ Sitio web oficial: http://www.hihttps.com
3. ModSecurity
ModSecurity es el creador del WAF de código abierto, un motor de firewall de aplicaciones web (WAF) multiplataforma de código abierto para Apache, IIS y Nginx, desarrollado por SpiderLabs de Trustwave. La comunidad de seguridad OWASP desarrolla y mantiene un conjunto de reglas de protección de aplicaciones gratuitas. Este es el llamado conjunto de reglas centrales de OWASP ModSecurity (es decir, CRS). Este conjunto de reglas es muy bueno, pero la tasa de falsas alarmas en algunos entornos es sorprendente. Xiao He, Xiao He falló.
Dirección del proyecto: https://github.com/SpiderLabs/ModSecurity
4. Naxsi
Naxsi es un cortafuegos basado en el módulo Nginx con sus propias definiciones de reglas. El proyecto está escrito en lenguaje C y requiere competencia en el código fuente de Nginx Está muy lejos de los negocios
Dirección del proyecto: https://github.com/nbs-system/naxsi
5. OpenWAF
OpenWAF se basa en Nginx, la ventaja es que consta de dos motores funcionales: motor de análisis de comportamiento y motor de reglas. El motor de reglas analiza principalmente una solicitud única, y el motor de análisis de comportamiento es el principal responsable del seguimiento de información de solicitudes cruzadas. La desventaja es que es complicado y no es adecuado para desarrolladores que no están familiarizados con Nginx y lua.
Dirección del proyecto: https://github.com/titansec/OpenWAF
6 , X-WAF
X-WAF core está desarrollado en base a openresty + lua, fondo de administración de waf: desarrollado con golang + xorm + macrom, admite implementación binaria, adecuado para pequeñas empresas.
Dirección del proyecto: https://github.com/xsec -lab / x-waf
7. Unixhot
Unixhot usa Nginx + Lua para implementar un WAF personalizado. En una oración, es analizar solicitudes HTTP (módulo de análisis de protocolo), detección de reglas (módulo de reglas), realizar diferentes acciones de defensa (módulo de acción) y combinar el proceso de defensa ( Módulo de registro) para grabar, muy sencillo.
Dirección del proyecto: https://github.com/unixhot/waf
8. Java WAF
Hay pocos WAF desarrollados en Java. Encontramos un API Gateway desarrollado en Java. Dado que WAF está construido sobre el proxy de código abierto LittleProxy, se dice que WAF es la capa inferior Se utiliza Netty. Funcionalmente, admite la interceptación de seguridad, varios análisis y detección, secuencias de comandos (sandbox), control de flujo / protección CC, etc. No conocer el lenguaje C es una buena noticia para los amantes de Java.
Dirección del proyecto: https://github.com/chengdedeng/waf
9. VeryNginx
VeryNginx también se desarrolla en base a lua_Nginx_module (openrestry), que implementa firewall avanzado, estadísticas de acceso y otras funciones. Integre y ejecute en Nginx, ampliando las funciones del propio Nginx.
Dirección del proyecto: https://github.com/alexazhou/VeryNginx/
10. FreeWAF
FeeWAF funciona en la capa de aplicación y realiza una detección profunda bidireccional de HTTP: protección en tiempo real de Internet para evitar la obtención o destrucción ilegal de datos de sitios web mediante el uso de vulnerabilidades de la capa de aplicación. Puede defenderse eficazmente contra inyección SQL, XSS, CSRF, desbordamiento de búfer, capa de aplicación DOS / DDOS, etc. Pero el proyecto no se ha actualizado durante mucho tiempo.
Resumen:
El código abierto no significa libre. El código abierto está todavía un poco por debajo del salto mortal del Rey Mono en el combate comercial. En este sentido, AIHTTPS es sin duda el producto de código abierto más comercializado. Tal vez como esperaba Cloudflare, después de que WAF se convierta en la implementación básica de la economía digital, el código abierto waf brilla con la luz de nuestra producción nacional china. ¡Aquí rendimos homenaje a todos los trabajadores que protegen la seguridad de la red!