给大家推荐几款免费的防火墙

使用防火墙(WAF)对网站来讲很有必要，不过国内的阿里云等的web防火墙之类对个人网站来说，价格一般难以承受，过去2.0的web防火墙普惠基础版对个人还能接受，自从上了3.0版本，个人用户估计只有看看了。下面我就给大家推荐几款免费防火墙。

一、长亭雷池社区版

主页：https://waf-ce.chaitin.cn/

对英文不好的用户，主推此款。而且提供界面。

雷池社区版是长亭科技根据企业版雷池 Web 应用防护系统提炼而来，核心检测能力由长亭首创的智能语义分析算法驱动。项目开源了语义分析算法的核心引擎和相关安全插件，控制台未开源。优点在于防护效果好，项目迭代快，界面清爽好用，缺点在于社区版相比企业版功能较少，但能满足 WAF 的基本需求。

便捷性。采用容器化部署，一条命令即可完成安装，0 成本上手。安全配置开箱即用，无需人工维护，可实现安全躺平式管理。

安全性。首创业内领先的智能语义分析算法，精准检测、低误报、难绕过。语义分析算法无规则，面对未知特征的 0day 攻击不再手足无措。

高性能。无规则引擎，线性安全检测算法，平均请求检测延迟在 1 毫秒级别。并发能力强，单核轻松检测 2000+ TPS，只要硬件足够强，可支撑的流量规模无上限。

高可用。流量处理引擎基于 Nginx 开发，性能与稳定性均可得到保障。内置完善的健康检查机制，服务可用性高达 99.99%。

二、南墙

主页：https://waf.uusec.com/

https://github.com/Safe3/uuWAF

南墙WEB应用防火墙（简称：uuWAF）一款社区驱动的免费、高性能、高扩展顶级Web应用安全防护产品。通过有安科技专有的WEB入侵异常检测等技术，结合有安科技团队多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发而成，缺点在于不能升级，有新版本要铲掉重装。

三、HTTPWAF

主页：https://github.com/httpwaf/httpwaf2.0

演示地址：http://59.110.1.135/httpwaf/

HTTPWAF 官方号称是一款真正有 web 管理后台，并且永久免费的 web 应用防火墙，既支持直接部署在 WEB 服务器上，又可以独立部署保护后端服务器。在免费 WAF 界算是功能很丰富的项目，基础检测能力还可以，缺乏对抗高强度攻击的能力。作为免费产品，源码、文档、安装包均没有公开提供，要加微信获取。

一 、介绍

httpwaf是一款永久免费的web应用防火墙，专注未知攻击对抗，也可以开源，是业界最好用的waf。

二 、两种安装架构

1、直接安装在WEB服务器上

​ 服务器原HTTP端口80改为其他如81，原HTTPS端口443改为4433，然后WAF占用80、443即可。

WAF（80)<------------->127.0.0.1:81
WAF（443)<------------>127.0.0.1:4433

2、独立部署，反向代理WEB服务器

WAF（80)<------------->WEB服务器:80
WAF（443)<------------>WEB服务器:443

三、安装教程

支持Linux 64位原生系统，保证可以上网，并且80、443和9999端口没有被占用，以root权限运行下面命令：

1、 chmod +x ./himonitor

2 、 ./himonitor

3 、 推荐centos，更多请看详细帮助手册。

四、锦衣盾

主页：https://www.jxwaf.com/

锦衣盾（JXWAF）是一款基于 OpenResty 开发的下一代 Web 应用防火墙，独创的业务逻辑防护引擎和机器学习引擎可以有效对业务安全风险进行防护，解决传统 WAF 无法对业务安全进行防护的痛点。

五、ModSecurity

主页：https://www.modsecurity.org/

https://github.com/SpiderLabs/ModSecurity

ModSecurity 是老牌开源 WAF 引擎，使用群体广，早年只适用于 Apache，在 2.X 重构后目前也可以支持 IIS 和 Nginx。作为 WAF 引擎，相比一体化的 WAF 项目，需要二次开发才能试用，对使用者来说成本略高。ModSecurity 被不少其他开源 WAF 作为核心引擎所集成，在开源社区认可度高，实际防护以正则规则为主，覆盖相对全面，但容易被绕过，前段时间被母公司抛弃了，未来是否会继续维护下去暂未可知。

防护效果：基础检测效果不错，但是规则对国内的环境不友好，容易误报
技术先进性：虽然没有高级对抗能力，但在技术圈认可度高，被众多开源项目集成，生态即技术壁垒
项目质量：无控制台，项目完全开源，文档丰富
社区认可度：6831star，是目前全球 star 数最高的 WAF 项目（截止本篇文章）
社区活跃度：持续有更新，近一年更新过 3 个版本

六、Coraza

主页：https://coraza.io/

Coraza 是一个开源、高性能的 WAF 引擎，使用 Go 语言编写，支持 ModSecurity SecLang 规则集，并且与 OWASP 核心规则集完全兼容，与 ModSecurity 一样不提供界面，只作为检测引擎，需要二次开发才能试用，有机会成为 ModSecurity 的替代品。

七、VeryNginx

主页：https://github.com/alexazhou/VeryNginx

VeryNginx 是一款与 Nginx 深度集成的 WAF 扩展程序，相比其他 Nginx 扩展，VeryNginx 是为数不多提供了控制台的 WAF 项目。VeryNginx 没有提供核心检测引擎，规则部分依赖第三方库。VeryNginx 在 github 有 5900 star，是国产 WAF 项目中 star 数最高的项目，最大的问题是该项目年久失修，规则库也多年不更新，项目基本停止维护，非常可惜。

防护效果：规则简单，具备基础防护能力，但有点过时，规则库 7 年未更新过
技术先进性：检测规则以来第三方的 ngx_lua_waf 项目
项目质量：具备 WAF 各项基础能力，项目完全开源，文档相对完善
社区认可度：5900 Star
社区活跃度：4 年未更新

八、NAXSI

主页：https://github.com/nbs-system/naxsi

NAXSI 是一款专为 Nginx 而生的 WAF 引擎，输出形态是 Nginx 动态扩展，编译后修改 Nginx 配置文件即可生效。NAXSI 不提供控制台，作为 WAF 引擎，用起来没有 ModSecurity 那么麻烦，但相比一体化的 WAF 项目使用成本任然较高。检测能力依赖 LibInjection 项目，只支持 SQL 注入和 XSS 检测，不推荐在线上使用。

九、NGX_WAF

主页：https://github.com/ADD-SP/ngx_waf

NGX_WAF 是一款国产的 Nginx 扩展类型的 WAF 引擎项目。NGX_WAF 不提供控制台，作为 WAF 引擎，用起来没有 ModSecurity 那么麻烦，但相比一体化的 WAF 项目使用成本任然较高。NGX_WAF 的核心能力基于 LibInjection 和 ModSecurity，和其他引用了第三方开源规则库的 WAF 项目相同，海外规则库对国内互联网环境适配性不太好，容易误报，缺少针对非通用性漏洞的规则。