開源waf有哪些？

1、ModSecurity
ModSecurity已經(jīng)有10多年的歷史，最開始是一個Apache的安全模塊，后來發(fā)展成為開源的、跨平臺的WEB應(yīng)用防火墻。它可以通過檢查WEB服務(wù)接收到的數(shù)據(jù)，以及發(fā)送出去的數(shù)據(jù)來對網(wǎng)站進行安全防護。
最厲害的是著名安全社區(qū)OWASP，開發(fā)和維護著一套免費的應(yīng)用程序保護規(guī)則，這就是所謂OWASP的ModSecurity的核心規(guī)則集(即CRS)，幾乎覆蓋了如SQL注入、XSS跨站腳本、DOS等幾十種常見WEB方法。
項目地址：https://github.com/SpiderLabs/ModSecurity

2、HiHTTPS

hihttps是一款少有完整源碼的高性能WEB應(yīng)用 + MQTT物聯(lián)網(wǎng)防火墻，兼容ModSecurity規(guī)則并開源。特點是使用超級簡單，就一個約10M的可執(zhí)行文件，但防護功能一應(yīng)俱全，包括：漏洞掃描、CC &DDOS、密碼破解、SQL注入、XSS***等。
更重要的是hihttps基于機器學(xué)習(xí)的商業(yè)版本，也是免費的，由機器自動采集樣本無監(jiān)督學(xué)習(xí)，自動生成對抗規(guī)則。眾所周知，阿里云/騰訊云等WAF非常貴，很多中小企業(yè)買不起，可以下載一個免費的hihttps試試。
項目地址：https://github.com/qq4108863/  官網(wǎng)：http://www.hihttps.com

3、 Naxsi
Naxsi 是一款基于Nginx模塊的防火墻，有自己規(guī)則定義，崇尚低規(guī)則。項目由C語言編寫，需要熟練掌握Nginx源碼的才能看懂。
項目地址：https://github.com/nbs-system/naxsi

4、OpenWAF

OpenWAF是基于Nginx_lua API分析HTTP請求信息,由行為分析引擎和規(guī)則引擎兩大功能引擎構(gòu)成，其中規(guī)則引擎主要對單個請求進行分析，行為分析引擎主要負責(zé)跨請求信息追蹤。
規(guī)則引擎的啟發(fā)來自modsecurity及freewaf(lua-resty-waf)，將ModSecurity的規(guī)則機制用lua實現(xiàn)。
基于規(guī)則引擎可以進行協(xié)議規(guī)范，自動工具，SQL注入，跨站***，信息泄露，異常請求等安全防護，支持動態(tài)添加規(guī)則，及時修補漏洞。缺點是復(fù)雜，不適合不熟悉Nginx和lua語言的開發(fā)者。
項目地址：https://github.com/titansec/OpenWAF

5、FreeWAF
FeeWAF是一款開源的WEB應(yīng)用防火墻產(chǎn)品，其命名為FreeWAF，它工作在應(yīng)用層，對HTTP進行雙向深層次檢測：對 Internet進行實時防護，避免***利用應(yīng)用層漏洞非法獲取或破壞網(wǎng)站數(shù)據(jù)，可以有效地抵御***的各種***，如SQL注入、XSS、CSRF***、緩沖區(qū) 溢出、應(yīng)用層DOS/DDOS***等；同時，對WEB服務(wù)器側(cè)響應(yīng)的出錯信息、惡意內(nèi)容及不合規(guī)格內(nèi)容進行實時過濾，避免敏感信息泄露，確保網(wǎng)站信息的可靠性。但項目已經(jīng)很久沒更新了。

6、ESAPI WAF
這是OWASP ESAPI 項目提供的一個開源WAF，基于J2EE實現(xiàn)，其主要利用XML的配置方式驅(qū)動防火墻。安裝時，在WEB.xml中將ESAPIWEBApplicationFirewallFilter配置為filter，在應(yīng)用程序之前和之后處理輸入和輸入。

7、unixhot
unixhot是使用Nginx+Lua實現(xiàn)自定義WAF，一句話描述，就是解析HTTP請求（協(xié)議解析模塊），規(guī)則檢測（規(guī)則模塊），做不同的防御動作（動作模塊），并將防御過程（日志模塊）記錄下來，非常簡單。
項目地址：https://github.com/unixhot/waf

8、Java WAF
用Java開發(fā)的WAF很少，我們發(fā)現(xiàn)一個使用Java開發(fā)的API Gateway，由于WAF構(gòu)建在開源代理LittleProxy之上，所以說WAF底層使用的是Netty。功能上支持安全攔截、各種分析檢測、腳本（沙箱）、流控/CC防護等。不會C語言，是Java愛好者的福音。
項目地址：https://github.com/chengdedeng/waf

9、X-WAF
X-WAF是一款適用中、小企業(yè)的云WAF系統(tǒng)，讓中、小企業(yè)也可以非常方便地擁有自己的免費云WAF。核心基于openresty + lua開發(fā)，waf管理后臺：采用golang + xorm + macrom開發(fā)的，支持二進制的形式部署。
項目地址：https://github.com/xsec-lab/x-waf

10、VeryNginx
VeryNginx 也是基于 lua_Nginx_module(openrestry) 開發(fā)，實現(xiàn)了高級的防火墻、訪問統(tǒng)計和其他的一些功能。 集成在 Nginx 中運行，擴展了 Nginx 本身的功能，并提供了友好的 WEB 交互界面。
項目地址：https://github.com/alexazhou/VeryNginx/

評價：
傳統(tǒng)的WAF規(guī)則已經(jīng)很難對付未知漏洞和未知***，商業(yè)waf已經(jīng)從傳統(tǒng)特征工程轉(zhuǎn)向機器學(xué)習(xí)自動防御，這方面的開源waf幾乎沒有，hihttps是唯一一個免費并且支持機器學(xué)習(xí)的waf，未來WEB安全必然是AI的天下。