作者:朱文雷
链接:https://www.zhihu.com/question/31334941/answer/3082825295
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
WAF 是 Web Application Firewall 的缩写,也被称为 Web 应用防火墙。区别于传统防火墙,WAF 工作在应用层,对基于 HTTP/HTTPS 协议的 Web 系统有着更好的防护效果,使其免于受到黑客的攻击。
近几年经济增速开始放缓,科技企业的成本意识有所增强,安全支出更加理性,这使得国内的开源安全项目得到了一定发展,从 github waf 相关 topic 的活跃度来看,排名靠前的国产项目超过了海外项目。
在互联网上公开能找到资料的 WAF 项目少说也有几千个,但其中绝大部分偏实验 Demo 的性质,工程性不足,缺少部署案例,没有经历过大规模流量的验证,实际能称得上产品的项目不到百分之一。翻阅了大量资料,对这几十款 WAF 产品进行实际部署测试后,我选取了其中十个具有代表意义的项目,下文将逐一进行介绍。
评价 WAF 的常用指标
作为网站管理员,应该如何选择一款适合自己的 WAF,以下是几个最常关注的指标
- 防护效果:主要是两个维度,能不能防住攻击,会不会影响普通用户
- 技术先进性:防护引擎的技术竞争力,是否具备对抗高级攻击的能力
- 项目质量:本文将以功能完整性、开源代码质量、文档完整性等角度作为评价依据
- 社区认可度:反映了项目在用户社区中的声誉和影响力,本文将以 GitHub Star 数作为评价依据
- 社区活跃度:是潜力的体现,活跃度越高发展越快,本文将以社区用户的参与度和作者维护项目的积极性作为评价依据
项目清单
先来看综合评分表
| 项目名称 | 开发者 | 综合评分 |
|---|---|---|
| ModSecurity | SpiderLabs | 五星 |
| 雷池社区版 | 长亭科技 | 四星 |
| coraza | coraza | 四星 |
| 南墙 | 友安科技 | |
| JANUSEC | JANUSEC | 三星 |
| VeryNginx | loveshell | 二星 |
| httpwaf | 闲人 | 二星 |
| 锦衣盾 | jx-sec | 一星 |
| NGX_WAF | ADD-SP | 一星 |
| NAXSI | NBS SYSTEM | 一星 |
扫一扫
829
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
