现在很多企业都会有一个对外服务的网站,对于企业的信息安全负责人而言,深深的知道网络攻击是有多么的可怕,常见的CC攻击、DDOS攻击、SQL注入、XSS跨站脚本、页面篡改等,每一个都能让网站瘫痪。对于不熟悉网络攻击的人来说,并不会太了解这些攻击的可怕,比较常见的就是网站页面被篡改,挂上了赌博信息,或者是被SQL注入攻击,信息数据被盗取。对于企业而言,一旦企业的网站被攻破,信息数据被窃取,无论是对于企业经济方面,还是客户信誉方面都会造成极大的损失。
2020年HTTPS加密已经普及,传统的防火墙检测功能失效,对于企业网站来说,部署一个WEB应用防火墙阻挡攻击十分重要,此时很多企业都会选择部署一套安全厂商的Web应用防护墙(Web Application Firewall,简称WAF),该WAF主要通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品,主要用于防御针对网络应用层的攻击,像SQL注入、跨站脚本攻击、参数篡改、应用平台漏洞攻击、拒绝服务攻击等。市面上目前各种各样的WAF产品众多,比如、安恒、深信服等等,这些大企业的WAF产品,普遍价格昂贵,在几万到几十万之间,中小企业大多数难以承受,从而没有额外的资金去购买一套安全厂商的WAF;不过现在市面上也有一些免费WAF,能够满足一些中小企业基本的安全需求,对于经费紧张的中小企业不枉可以选择,现在我们经过搜索,整理出几款免费的WAF供大家参考使用。1、ModSecurity
ModSecurity最开始是一个Apache的安全模块,后来发展成为开源的、跨平台的WEB应用防火墙。它可以通过检查WEB服务接收到的数据,以及发送出去的数据来对网站进行安全防护。最厉害的是著名安全社区OWASP,开发和维护着一套免费的应用程序保护规则,这就是所谓OWASP的ModSecurity的核心规则集(即CRS),几乎覆盖了如SQL注入、XSS跨站攻击脚本、DOS等几十种常见WEB攻击方法。2、HiHTTPS
HiHTTPS是一款免费的高性能WEB应用 + MQTT物联网防火墙,兼容ModSecurity规则并开源。特点是使用超级简单,就一个约10M的可执行文件,但防护功能一应俱全,包括:漏洞扫描、CC &DDOS、暴力破解、SQL注入、XSS攻击等。3、GOODWAF
GOODWAF是一款国内开发的免费云waf产品,基于云端开发,用户只需要注册添加域名、ip等信息,并解析域名就可以,非常简单好用,并且所有功能都是免费的,本人亲测,具备cc防护、xss跨站攻击防护、webshell防护、SQL注入防护等传统防护功能。同时还具备态势感知3D大屏,随时能监控攻击来源等信息。还创新了主动防护功能,具备网页源代码加密、JS混淆、动态令牌等功能,能有效防护网站安全,也有cdn功能,能加速网站打开。因为是国内开发的,所以会比国外开发的用起来舒服很多,没有付费的地方,推荐大家使用。4、Cloudflare
Cloudflare也是一款比较好用的云waf产品,是一家美国厂商开发的,cloudflare具有防火墙、DDoS 保护、Rate limiting、机器人管理、VPN 等功能。同时cloudflare还具有自动waf更新功能,当发现适用于大部分用户的威胁时,会自动应用 WAF 规则来保护用户的Internet 资产。但是目前免费的功能只有DDOS防护了,waf功能需要付费才能使用。