4 开源Web应用防火墙，提供更好的安全性

用防火墙保护您的网站应用程序

由于配置错误或存在漏洞的代码，每天都会发生成千上万的攻击。Web应用程序防火墙（WAF）是保护您的网站免受在线威胁的最佳方式之一。

如果您的网站可以在互联网上访问，那么您可以使用online tools to scan a website for vulnerability来了解您的网站的安全性。如果您的网站是内部网站，也不用担心，您可以使用Nikto web scanner。

Commercial WAF可能很昂贵，如果您正在寻找使用WAF保护您的网站的免费解决方案，那么以下开源Web应用程序防火墙可能会有所帮助。

ModSecurity

ModSecurity是TrustWave开发的最受欢迎的Web应用程序防火墙之一，它支持Apache HTTP服务器、Microsoft IIS和Nginx。

如果您需要以下保护，ModSecurity的免费规则将会很有帮助。

• 跨站脚本攻击
• 木马
• 信息泄露
• SQL注入
• 常见的Web攻击
• 恶意活动

ModSecurity没有图形界面，如果您需要一个图形界面，可以考虑使用WAF-FLE。它可以让您在控制台上存储、搜索和查看事件。

NAXSI

NAXSI是Nginx的反跨站脚本和SQL注入防护。所以可以猜到，这只适用于Nginx Web服务器，主要用于保护免受跨站脚本和SQL注入攻击。

NAXSI仅过滤GET和PUT请求，默认配置将作为DROP防火墙，默认情况下需要添加ACCEPT规则才能正常工作。

WebKnight

WebKnight是用于Microsoft IIS的WAF。它是一个ISAPI过滤器，通过阻止恶意请求来保护您的Web服务器。WebKnight可用于保护以下内容。

• 缓冲区溢出
• 目录遍历
• 字符编码
• SQL注入
• 阻止恶意机器人
• 阻止盗链
• Brute force
• 等等…

在默认配置中，所有被阻止的请求都会被记录，您可以根据需要进行自定义。WebKnight 3.0具有管理Web界面，您可以在其中自定义规则并执行管理任务，包括统计数据。

Shadow Daemon

Shadow Daemon通过过滤具有恶意参数的请求来检测、记录和防止Web攻击。它带有一个独立的界面，您可以在其中进行管理和管理此WAF。它支持PHP、Perl和Python语言框架。

它可以检测到以下攻击。

• SQL注入
• XML注入
• 代码注入
• 命令注入
• XSS
• 后门访问
• 本地/远程文件包含

开源是免费的，但您不会获得支持，这意味着您需要依靠自己的专业知识和社区支持。因此，如果您正在寻找商业WAF，您可以参考以下内容。

• Cloudflare（基于云的）
• Incapsula（基于云的）
• F5 ASM
• 信托波ModSecurity商业规则
• StackPath
• SUCURI（基于云的）

希望这些内容能帮助您了解各个平台的开源Web应用程序防火墙。