免费web应用防护系统

　　2020年HTTPS加密已经普及，传统的防火墙检测功能失效，所以对于网站来说，部署一个WEB应用防火墙十分重要，这方面商业产品很多，开源的也不少，这里跟大家推荐一些免费web应用防护系统。

　　免费web应用防护系统

　　1、网站安全狗

　　网站安全狗是厦门服云信息开发的免费网站安全软件，这款软件可以针对web进行扫描、杀毒、检测代码漏洞等工作，帮助运维人员提升web网站的安全性，另外还能对网站进行流量保护，防止网站遭受cc攻击，只要网站不是遭受大流量的cc攻击都能自动防护。

　　另外就是能够对网站进行24小时的监控，只要网站遭受入侵攻击或者有风险威胁，都会自动通知用户，让用户能够尽早进行应对工作。

　　网站安全狗免费下载地址，免费使用：http://free.safedog.cn/website_safedog.html

　　旗舰版产品，可以免费试用：http://www.safedog.cn/index/publicCloudIndex.html

　　强力拦截各类

　　注入、跨站、漏洞、应用风险

　　强力拦截SQL注入、XSS跨站、struts2漏洞、建站程序漏洞、0day漏洞、短文件名漏洞、IIS目录漏洞、主动拦截网马上传、带马页面浏览、恶意代码调用组件。

　　精确查杀各类

　　网马、挂马、黑链与畸形文件

　　本地网马引擎与云端网马引擎结合，精确查杀各类网马、挂马、黑链与畸形文件。智能化查杀，精准、快速、资源耗用小、彻底有效清除后门隐患。

　　有效拦截非法攻击请求

　　降低流量攻击伤害

　　智能验证模式有效拦截非法网站攻击请求，降低因流量攻击对网站、服务器带来的伤害。

　　防盗链、特定资源保护

　　有效保护网站资源

　　禁止网站图片、视频文件等资源非法盗链，禁止网站数据库等敏感文件非法下载，有效保护网站重要文件资源。

　　云网络实现

　　网站静态资源全国访问

　　加速

　　对网站图片、CSS、JS静态资源提供全国访问加速，秒级智能云调度系统，瞬时将您的网站资源快速推送到所有访问用户眼前。

　　2、HiHTTPS

　　hihttps是一款免费的高性能WEB应用 + MQTT物联网防火墙，兼容ModSecurity规则并开源。特点是使用超级简单，就一个约10M的可执行文件，但防护功能一应俱全，包括：漏洞扫描、CC &DDOS、暴力破解、SQL注入、XSS攻击等。

　　更重要的是hihttps官方的基于机器学习的商业版本，也是免费的，由机器自动采集样本无监督学习，自动生成对抗网络。众所周知，阿里云/腾讯云等WAF非常贵，很多中小企业买不起，可以下载一个免费的hihttps试试。

　　项目地址：https://github.com/qq4108863/ 官网：http://www.hihttps.com

　　3、ModSecurity

　　ModSecurity最开始是一个Apache的安全模块，后来发展成为开源的、跨平台的WEB应用防火墙。它可以通过检查WEB服务接收到的数据，以及发送出去的数据来对网站进行安全防护。

　　最厉害的是著名安全社区OWASP，开发和维护着一套免费的应用程序保护规则，这就是所谓OWASP的ModSecurity的核心规则集(即CRS)，几乎覆盖了如SQL注入、XSS跨站攻击脚本、DOS等几十种常见WEB攻击方法。

　　项目地址：https://github.com/SpiderLabs/ModSecurity

　　4、 Naxsi

　　Naxsi 是一款基于Nginx模块的防火墙，有自己规则定义，崇尚低规则。项目由C语言编写，需要熟练掌握Nginx源码的才能看懂。

　　项目地址：https://github.com/nbs-system/naxsi

　　5、OpenWAF

　　OpenWAF是基于Nginx_lua API分析HTTP请求信息,由行为分析引擎和规则引擎两大功能引擎构成，其中规则引擎主要对单个请求进行分析，行为分析引擎主要负责跨请求信息追踪。

　　规则引擎的启发来自modsecurity及freewaf(lua-resty-waf)，将ModSecurity的规则机制用lua实现。

　　基于规则引擎可以进行协议规范，自动工具，注入攻击，跨站攻击，信息泄露，异常请求等安全防护，支持动态添加规则，及时修补漏洞。缺点是复杂，不适合不熟悉Nginx和lua语言的开发者。

　　项目地址：https://github.com/titansec/OpenWAF

　　6、FreeWAF

　　FeeWAF是一款开源的WEB应用防火墙产品，其命名为FreeWAF，它工作在应用层，对HTTP进行双向深层次检测：对于来自 Internet的 攻击进行实时防护，避免黑客利用应用层漏洞非法获取或破坏网站数据，可以有效地抵御黑客的各种攻击，如SQL注入攻击、XSS攻击、CSRF攻击、缓冲区 溢出、应用层DOS/DDOS攻击等;同时，对WEB服务器侧响应的出错信息、恶意内容及不合规格内容进行实时过滤，避免敏感信息泄露，确保网站信息的可靠性。但项目已经很久没更新了。

　　7、ESAPI WAF

　　这是OWASP ESAPI 项目提供的一个开源WAF，基于J2EE实现，其主要利用XML的配置方式驱动防火墙。安装时，在WEB.xml中将ESAPIWEBApplicationFirewallFilter配置为filter，在应用程序之前和之后处理输入和输入。

　　8、unixhot

　　unixhot是使用Nginx+Lua实现自定义WAF，一句话描述，就是解析HTTP请求(协议解析模块)，规则检测(规则模块)，做不同的防御动作(动作模块)，并将防御过程(日志模块)记录下来，非常简单。

　　项目地址：https://github.com/unixhot/waf

　　9、Java WAF

　　用Java开发的WAF很少，我们发现一个使用Java开发的API Gateway，由于WAF构建在开源代理LittleProxy之上，所以说WAF底层使用的是Netty。功能上支持安全拦截、各种分析检测、脚本(沙箱)、流控/CC防护等。不会C语言，是Java爱好者的福音。

　　项目地址：https://github.com/chengdedeng/waf

　　10、X-WAF

　　X-WAF是一款适用中、小企业的云WAF系统，让中、小企业也可以非常方便地拥有自己的免费云WAF。核心基于openresty + lua开发，waf管理后台：采用golang + xorm + macrom开发的，支持二进制的形式部署。

　　项目地址：https://github.com/xsec-lab/x-waf

　　11、VeryNginx

　　VeryNginx 也是基于 lua_Nginx_module(openrestry) 开发，实现了高级的防火墙、访问统计和其他的一些功能。 集成在 Nginx 中运行，扩展了 Nginx 本身的功能，并提供了友好的 WEB 交互界面。

　　项目地址：https://github.com/alexazhou/VeryNginx/

　　关于免费web应用防护系统就介绍到这里，，企业想要防护网络安全云waf必不可少，云waf也就是我们通常说的web应用防火墙，主要是用来防护网站的安全。网站一旦受到攻击，或者是页面篡改，轻则导致网站被封，重则数据丢失、财产损失，最重要的是一旦网站被篡改，根据网络安全法，网站运营者、建设者都需要承担罚款，还会面临拘留的危险，所以网站安装云waf产品非常有必要。