Naxsi

开源waf是网络安全的重要部分，Cloudflare认为：十年后数字经济的网络安全基础设施会像水过滤系统一样普及，而这个过滤系统的核心就是waf。对于服务器来说，部署WEB应用防火墙十分重要，这方面的开源waf很多，但优秀的太少，笔者经过大量搜索，并结合市场热度，整理出2021年十大开源waf供大家参考。 1、OpenResty OpenResty 是由中国人章亦春发起，把nginx和各种三方模块的一个打包而成的软件平台，核心就是nginx+lua脚本语言。主要是因为nginx是C语言编写，修改很复杂，而lua语言则简单得多，国内很多大公司如360、京东、gitee等都在用来作为web应用防火墙。 项目地址： https://github.com/openresty/ 2、AIHTTPS aihttps是hihttps的升级版，也是由中国人编写。特点是兼容ModSecurity规则，并且已经向人工智能方向进化：使用机器学习自主生成对抗规则，来防御包括：漏洞扫描、CC 、DDOS、SQL注入、XSS等。其商业版也开源，是目前商业化开源程度最高的WAF。 项目地址： https://github.com/qq4108863/ 官网： http://www.hihttps.com 3、ModSecurity ModSecurity是开源WAF的鼻祖，是一个开源的跨平台Web应用程序防火墙

WAF可分为许多种，从产品形态上来划分，可以大致分为三类： 1硬件设备类 目前安全市场上，大多数的 WAF 都属于此类。它们以一个独立的硬件设备的形态存在，支持以多种方式（如透明桥接模式、旁路模式、反向代理等）部署到网络中为后端的Web应用提供安全防护。相对于软件产品类的WAF，这类产品的优点是性能好、功能全面、支持多种模式部署等，但它的价格通常比较贵。国内的绿盟、安恒、启明星辰等厂商生产的WAF都属于此类。 2软件产品类 这种类型的WAF采用纯软件的方式实现，特点是安装简单，容易使用，成本低。但它的缺点也是显而易见的，因为它必须安装在Web应用服务器上，除了性能受到限制外，还可能会存在兼容性、安全等问题。这类WAF的代表有ModSecurity、Naxsi、 网站安全 狗等。 3基于云的WAF 随着云计算技术的快速发展，使得其于云的WAF实现成为可能。国内创新工场旗下的安全宝、360的网站宝， imperva waf 是这类WAF的典型代表。 Web应用防火墙技术，一般均采用反向代理技术和虚拟主机技术原理，其工作流程是，将受保护的Web服务器建立虚拟主机，对每一个虚拟主机提供相应的安全策略来进行保护。同时把Web应用防火墙配置为反向代理服务器，用于代理Web服务器对外部网络的连接请求。当Web应用防火墙能够代理外部网络上的主机访问内部Web服务器的时候

Nginx+Naxsi Naxsi是基于Nginx的轻量级的第三方Web安全防护模块。相对ModSecurity，Naxsi基于严格的字符过滤，结合白名单规则实现防御，可以认为是基于白名单的防御方式。优点是规则简单容易上手，基于白名单的方式可以防御未知的攻击，缺点是容易误杀，需要结合业务配置白名单。 Naxsi提供了从日志中学习生成白名单的工具。 模式： Naxsi可以在两种模式下运行：拦截模式和学习模式。拦截模式下会利用每条规则去匹配请求，并累计匹配分数，一旦分数达到阀值，则拒绝此请求并记录日志。学习模式下同样会匹配请求累计分数，但是分数达到阀值之后仍然继续匹配剩下的规则，最后仅记录日志。拦截模式用于生产环境，学习模式用于记录正常请求生成白名单。 规则： Naxsi包含三种规则：MainRule(在Nginx的http段声明，一般作为黑规则) 、BasicRule(在Nginx的location段声明，一般作为白规则)、CheckRule(判断规则，在Nginx的location段声明)。黑规则声明检查域、检查内容、匹配分值。白规则声明例外条件和例外规则。 CheckRule声明判断分数和防御手段。 拒绝URL： DeniedUrl指定当判定为拒绝请求的时候，Nginx所执行的location段，在Nginx的location段声明。一般配置为返回403。 安装 wget