2020年5大开源免费waf产品力荐，网站安全防护必备

随着网络形式逐渐严峻，网络安全成了众多用户面临的主要问题。目前防护网站安全较为简单有效的产品就是web应用防火墙，也就是现在所谓的waf产品，开源waf在网上不多，即便是打着开源旗号的，不少都是只供个人使用，一旦涉及商业还是要付费，或者是购买规则库需要付费，并且有很多waf厂商已经没有继续做，但是产品依然存在，用户辨别难度大，基于此，特此整理了现存的5大开源waf，大家有安全需求的可以使用。

1、ModSecurity
ModSecurity最开始是从一个安全模块发展起来的，逐渐成为开源的web应用防火墙，ModSecurity突出的特点就是核心规则非常多，目前应该有将近3万条左右，功能上具备sql注入、xss防护、ddos防护多常见的几十种攻击。分成window和linux两个版本，安装算是比较简单，但是配置规则难度较大，需要专业技术人员。

2、GOODWAF
GOODWAF是一款真正免费的云waf，基于云端开发的waf主要优点是无需用户安全软件，复杂的配置waf规则，只需要用户添加域名-解析域名地址到waf节点上就能实现网站的安全防护，使用起来简直就是傻瓜操作，电脑小白也能轻松使用。

具备几大主要功能：

1.传统防御，如sql、xss、cc、应用层ddos、webshell等攻击的防护，防篡改、盗链、暗链等。
2.主动防护功能，通过后台可以开启防护功能，如源代码加密、js防护、链接隐藏等。
3.数据风控功能，防自动化攻击、防数据泄露、防虚假注册、防薅羊毛等。
4.态势感知功能，对攻击ip、攻击来源、攻击方式、攻击信息进行全方位的监控。
这款GOODWAF还有一个比较好的功能，漏洞扫描功能，能够随时扫描网站存在的漏洞，了解网站目前有哪些潜在危害，及时防护网站安全于未然。

3、sharewaf
国内一款开源的软件waf，应用了众多首创、前卫、先进技术，如：前端WAF、变形元素、JS多态变异、3D实时态势感知等等。多重防控、主动防御、大数据防护、态势感知、人机识别等众多防护技术结合，全面抵御爬虫、自动化攻击、SQL注入、XSS等各类网络攻击。部署起来难度不大，稍微懂些技术的人都能轻松安装。
4、X-WAF

X-WAF是一款适用中、小企业的云WAF系统，让中、小企业也可以非常方便地拥有自己的免费云WAF。核心基于openresty + lua开发，waf管理后台：采用golang + xorm + macrom开发的，支持二进制的形式部署。

5、HiHTTPS

HiHTTPS是一款少有完整源码的高性能WEB应用 + MQTT物联网防火墙，是具备机器学习能力的一款云waf，能够自主AI学习，对抗网络攻击。特点是使用超级简单，就一个约10M的可执行文件，但防护功能一应俱全，包括：漏洞扫描、CC &DDOS、密码破解、SQL注入、XSS攻击等。但是目前个人版本是免费的，只供学习使用，商业版本是需要付费的，有条件的可以试用。

总结：云waf将成为网站安全防护的重要趋势，上述waf经过测试，GOODWAF是基于云waf开发，使用简单，只需要5分钟就能轻松配置，sharewaf是开源免费的waf，技术流可以上手试试。ModSecurity规则库多，但是配置复杂。HiHTTPS文件较小，防护还行，但是商业需要付费。X-WAF后台使用简洁，复杂程度居中。建议中小企业和站长可以使用GOODWAF。