2020年全球爆发新冠疫情重创经济，5G和物联网可能会快速崛起拉动经济，HTTPS加密已经普及，传统的防火墙检测功能失效，所以对于服务器来说，部署一个WEB应用防火墙十分重要，这方面开源waf的不少，但优秀的不多，这里笔者经过大量搜索，整理出十大开源waf供大家学习。

1、ModSecurity

ModSecurity已经有10多年的历史，最开始是一个Apache的安全模块，后来发展成为开源的、跨平台的WEB应用防火墙。它可以通过检查WEB服务接收到的数据，以及发送出去的数据来对网站进行安全防护。

最厉害的是著名安全社区OWASP，开发和维护着一套免费的应用程序保护规则，这就是所谓OWASP的ModSecurity的核心规则集(即CRS)，几乎覆盖了如SQL注入、XSS跨站攻击脚本、DOS等几十种常见WEB攻击方法。

项目地址：9e6K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6e0M7r3W2V1k6i4u0x3j5h3u0K6i4K6u0r3e0h3!0V1f1$3g2U0N6i4u0A6N6s2V1`.

2、HiHTTPS

hihttps是一款少有完整源码的高性能WEB应用 + MQTT物联网防火墙，兼容ModSecurity规则并开源。特点是使用超级简单，就一个约10M的可执行文件，但防护功能一应俱全，包括：漏洞扫描、CC &DDOS、密码破解、SQL注入、XSS攻击等。

更重要的是hihttps基于机器学习的商业版本，也是免费的，由机器自动采集样本无监督学习，自动生成对抗规则。众所周知，阿里云/腾讯云等WAF非常贵，很多中小企业买不起，可以下载一个免费的hihttps试试。

项目地址：a34K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6I4M7e0b7I4x3o6R3^5y4U0y4Q4x3V1k6Q4x3U0k6F1j5Y4y4H3i4K6y4n7i4K6t1$3L8X3u0K6M7q4)9K6b7W2!0q4y4g2!0m8c8g2)9&6z5q4!0q4y4#2!0n7c8q4)9&6x3g2!0q4c8W2!0n7b7#2)9&6b7h3S2@1N6s2m8Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2Z5K9h3S2@1N6s2m8K6i4K6u0W2j5$3!0E0

3、OpenWAF

OpenWAF是基于Nginx_lua API分析HTTP请求信息,由行为分析引擎和规则引擎两大功能引擎构成，其中规则引擎主要对单个请求进行分析，行为分析引擎主要负责跨请求信息追踪。

规则引擎的启发来自modsecurity及freewaf(lua-resty-waf)，将ModSecurity的规则机制用lua实现。

基于规则引擎可以进行协议规范，自动工具，SQL注入，跨站攻击，信息泄露，异常请求等安全防护，支持动态添加规则，及时修补漏洞。缺点是复杂，不适合不熟悉Nginx和lua语言的开发者。

项目地址：eb3K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6@1K9i4c8S2L8Y4y4W2j5#2)9J5c8V1!0H3k6h3&6i4b7f1j5`.

4、FreeWAF

FeeWAF是一款开源的WEB应用防火墙产品，其命名为FreeWAF，它工作在应用层，对HTTP进行双向深层次检测：对 Internet进行实时防护，避免黑客利用应用层漏洞非法获取或破坏网站数据，可以有效地抵御黑客的各种攻击，如SQL注入、XSS、CSRF攻击、缓冲区 溢出、应用层DOS/DDOS攻击等；同时，对WEB服务器侧响应的出错信息、恶意内容及不合规格内容进行实时过滤，避免敏感信息泄露，确保网站信息的可靠性。但项目已经很久没更新了。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课