2019 トップテンのオープンソース WEBアプリケーションファイアウォールコメント
WEB アプリケーションとの爆発的な成長のHTTPS などのネットワークアプリケーション層の攻撃のための暗号人気、SQLのインジェクション、クロスサイトスクリプティング、パラメータ改ざん、アプリケーションプラットフォームのエクスプロイト、サービス拒否攻撃より多くの、伝統的なファイアウォールウェブサイトのための展開ので、故障検出機能、 WEBのアプリケーションファイアウォールは、商用製品、劣らず、オープンソースの多くは、この点で、非常に重要であり、ここでは、整理、検索の多くを通過する 2019年あなたの参照の偉大な神のためのトップ10の無料のオープンソース製品を。
1 、ModSecurityは
ModSecurityはをとして始まった Apacheのセキュリティモジュール、およびそれ以降に開発されたオープンソース、クロスプラットフォーム WEBのアプリケーションファイアウォール。それは確認することができます WEB 受信したサービスデータを、そしてデータは、サイトのセキュリティに送られます。
その既知のセキュリティコミュニティの上に OWASP 、開発と呼ばれる無料のアプリケーション保護ルール、維持OWASP のModSecurityはコアルールセット(すなわちCRS)を、ほぼそのままカバーしたSQL インジェクション、XSS のクロスサイトスクリプティング攻撃、DOS や共通の他の数十 WEBの攻撃。
今サポート nginxのと IIS と、 Nginxは、柔軟かつ効率的に生産のレベル戦うことができる WAFを、それが保護し、監査することで WEBの多くの商業用セキュリティツール WAF だけでなく、これらの変性からによります。
プロジェクト住所: https://github.com/SpiderLabs/ModSecurity
2 、 HiHTTPS
hihttpsがある希少な高性能の完全なソース SSLのWeb アプリケーションファイアウォール(SSL WAF )、使用してファイルディスクリプタのモードは、高い同時実行をサポートしており、互換性がありModSecurityの定期的なルール、簡単、効率的かつ実用的な、が特徴初心者のための非常に立派なコレクション。
hihttps シンプルですが、範囲内の保護機能、を含む:脆弱性スキャン、CC&DDOS 、ブルート、SQLのインジェクション、XSSの攻撃、抗クローラだけでなく、ウェブサイトを改善するには、攻撃をブロックする正確なメカニズムのブラックリストとホワイトリストをファイル。
プロジェクト住所: https://github.com/qq4108863/hihttps
3 、OpenWAF
OpenWAFに基づく Nginx_lua APIは、分析のHTTP リクエスト情報、分析のための単一の要求のために主エンジンルール2つの関数は、エンジンを構成する行動分析エンジンとルールエンジンを、行動分析エンジンは、要求間で情報を追跡する責任があります。
ヒューリスティックエンジンModSecurityのとfreewaf(LUA-Resty-WAF) 、 ModSecurityはを持つルール機構LUAを達成しました。
ルールベースエンジンは、動的な追加ルール、タイムリーな修理の抜け穴のためのプロトコル仕様、自動化ツール、インジェクション攻撃、クロスサイト攻撃、情報漏えい、異例の要求、セキュリティ、サポートを行うことができます。欠点は、適して複雑ではないに精通していない nginxのと Luaの開発言語。
プロジェクト住所: https://github.com/titansec/OpenWAF
4、FreeWAF
FeeWAFは、オープンソースである WEB という名前のアプリケーションファイアウォール製品、 FreeWAF それがために、アプリケーション層で動作し、HTTP 双方向深い検出:からの場合は、インターネットのリアルタイムの攻撃からの保護では、アプリケーション層が脆弱性ハッカーが違法な撮影や破壊のサイトを避けるために使用しますデータは、のような様々なハッカーの攻撃に対して有効であることができるのSQL インジェクション攻撃、XSSの攻撃、CSRFの攻撃、バッファオーバーフロー、アプリケーション層DOS / DDOSの攻撃;一方、 WEBのエラーサーバ側に応答メッセージ、および望ましくない悪質なコンテンツリアルタイムのコンテンツフィルタリングの仕様は、ウェブサイト上の情報の信頼性を確保するため、機密情報の漏洩を防ぎます。しかし、プロジェクトが更新されない、長い時間となっています。
5 、 ESAPI WAF
これは、 OWASP ESAPI 提供するオープンソースプロジェクトWAF に基づいて、J2EEの実装の主な用途はXMLのコンフィギュレーション駆動ファイアウォールを。インストール時に、 web.xmlがあろうESAPI検討 WEBApplicationFirewallFilter するように構成されたフィルタを、アプリケーション前の入力と出力を処理した後。
6 、unixhot
unixhotはれる使用 nginxの+ Luaはカスタム実装WAF 、単語の説明は、解析する HTTPの(モジュールログ)要求(プロトコル解析モジュール)、検出ルール(規則モジュール)を、異なる防御行動(動作ブロック)、及び防衛処理を行いますレコードの、非常にシンプル。
プロジェクト住所:https://github.com/unixhot/waf
7 、JavaのWAF
Java 開発WAF 少し、我々が見つかりました。使用したJava 開発するAPIゲートウェイをので、WAFは、オープンソースのプロキシ上に構築されているLittleProxy 上記のように、 WAFの底が使用して網状に。サポート機能のセキュリティインターセプタは、分析試験のすべての種類、スクリプト(サンドボックス)は、フロー制御 / CCの保護をようにと。ないのC 言語、Javaののゴスペル愛好家。
プロジェクト住所:https://github.com/chengdedeng/waf
8 、 Naxsi
Naxsiが基づいている nginxのファイアウォールモジュールの低ルールを提唱、独自のルールの定義を持っています。プロジェクトは、で構成されて C 書き言葉、私たちは、習得する必要が nginxののソースコードを理解することができます。
プロジェクト住所:https://github.com/nbs-system/naxsi
9 、 X-WAF
X-WAFは、適切な中小企業のクラウドであるWAFの中小企業が簡単に自分の無料のクラウド持つことができることができますシステムWAFを。コアベースの openrestyの+のLuaの開発、WAF 管理背景: golang + xorm + MACROMの開発、導入支援バイナリ形式。
プロジェクト住所:https://github.com/xsec-lab/x-waf
10 、 VeryNginx
VeryNginxが され基づいて、 lua_Nginx_module(openrestry) 高度なファイアウォール、アクセス統計や他のいくつかの機能を実装し、開発しています。統合に nginxのの 操作、拡張 nginxの 自体機能を、そしてフレンドリー提供するウェブ インタフェースを。
プロジェクト住所:https://github.com/alexazhou/VeryNginx/
評価:
1、現在の商業的、基本的なファイアウォールはステレオタイプ nginxのの中に多くの、モジュールを openrestryは二次開発を行い、完全なソースコードは本当に少し、 hihttpsは1としてカウントされます。
2は、Cは優先言語のアプリケーションソフトウェアファイアウォール、主にC 生来のシステムとスピードブロックの基本的な組み合わせ、コンパイラは高い同時要求および他の利点をサポートするために、何かの外ではありません。
3は、HTTPSの暗号化がトレンドである、伝統的なHTTP 明示ウェブサイトはすぐに基づいて、排除されるSSL のウェブアプリケーションファイアウォールは、今後の焦点となっています。
4、WEB アプリケーションファイアウォールで最大の傾向は、人工知能、正確な判断未知の脆弱性、未知の攻撃の未来である、一般的には、国の安全保障の背景を、ネットワークを重視し、業界はまだ開発の余地があります。