WAF应用防火墙简要选型

大家好，欢迎来到IT知识分享网。

背景

由于现在不断提倡网络安全甚至已经成为一个国家的政策性要求，出台网络安全法，推出网络安全等级保护制度，可见安全的重要性。而网站作为中小型企业对外提供服务的一个入口，重要性就不容小觑，另外目前网络上出现了很多安全方面的工具，网站漏扫的门槛越来越低，随便一个开源的工具就可以对站点进行漏扫,若发现漏洞进而利用就可能导致比较重大的安全事故。所以针对中小型站点的安全保卫战就需要提上日程，增加一些措施手段保障站点的安全性，WAF就是一种比较合适的加固方案。

什么是WAF

Web应用程序防火墙，Web Application Firewall，简称WAF。是一种提供保护Web站点免受恶意攻击和数据泄露作用的产品，它通常位于Web应用程序和网络之间，监控和过滤HTTP流量，以便检测和阻止潜在的攻击。WAF主要有以下三种载体或者说方式提供服务

• 硬件WAF，厂家提供专用的物理设备部署在网络中，对网站的流量进行过滤防护。
• 软件WAF，以软件的形式安装在自有的服务器上面，对网站的流量进行过滤防护。
• 云WAF，云厂商提供的服务,一般web也是基于云的方式部署的，作为云服务提供商额外提供的服务，也有是跟CDN服务结合的。

硬件WAF一般不适合中小型站点，投入成本较高，云WAF比较多跟云的场景结合现阶段也是成本比较高的选择，软件WAF的方式现在市面上有基础免费版和按需增值版供选择，比较适合中小型站点，可以选择基础免费版提高站点的安全门槛而不是在网络世界里裸奔，后续视业务的发展情况按需调整为更安全能力更强的收费版。

软件WAF简介

调研了市面上面的产品，从出品方的角度有专业公司和个人在运营的产品，主要有以下几种：

• 南墙WAF
• 一款工业级免费、高性能、高扩展，支持AI和语义引擎的Web应用和API安全防护产品。
• 安装简单，提供主机板和docker（容器）安装方式，均通一键脚本方式。
• 雷池WAF
• 基于智能语义分析的下一代WAF应用防火墙。
• 安装简单，提供一键安装脚本。
• 宝塔WAF
• 超高自由度的自定义拦截规则和可灵活配置各种限制访问，有效防CC攻击、防恶意采集、防刷接口等常见攻击和黑客渗透测试行为，为您的业务网站保驾护航。
• 安装简单，提供一键安装脚本。
• aihttps
• 首款基于机器学习、自主对抗未知攻击的高性能WEB应用防火墙（ SSL WAF），源码完整并且兼容ModSecurity正则规则。
• 安装步骤简单，需按官网文档要求，暂未提供脚本。
• httpwaf
• httpwaf是一款永久免费的web应用防火墙，重点对抗未知攻击。
• 安装方式直接下载二进制文件运行（对系统环境有要求）

安装实践

主要对前三种软件南墙、雷池、宝塔WAF进行实际安装体验，整个体验过程主要基于事前、事中、事后三个逻辑环节进行。

• 安装前准备阶段

安装前相关文档获取，三款软件官网均具备完善的文档介绍，产品均在持续迭代更新版本，还提供了沟通交流反馈的渠道如微信群，宝塔和雷池还提供了demo站提前体验。

• 宝塔waf，文档地址，https://www.kancloud.cn/kern123/cloudwaf/ ，演示demo，https://btwaf-demo.bt.cn:8379/c0edce7a，安装版本v4.6
• 雷池waf，文档地址，https://docs.waf-ce.chaitin.cn/，演示demo，https://demo.waf-ce.chaitin.cn:9443/dashboard，最新版本，[6.2.0] – 2024-06-27
• 南墙waf，文档地址，https://waf.uusec.com/#/?id=main，安装版本，4.5.0
• 实际安装

三款软件均提供一键安装脚本，都是通过容器的方式运行，需要具备容器运行环境和80、443端口未被其他程序占用。安装简单官方文档介绍翔实就不做过多介绍。

• 事后安装体验

从后台功能点的角度

相同点：三款软件均提供了站点整体的运行情况如访问量、拦截量、QPS等运行数据和针对站点进行防护策略的配置；都有免费版和其他收费版本的差异。免费版的差异点：

• 宝塔WAF提供了端口转发和网站加速，满足一些端口转发和站点静态资源加速的需求，另外目前公测阶段免费版还提供了攻击大屏的功能，较直观的展示目前的的攻击拦截情况。还有个不错的功能就是支持直接禁止境外ip访问。
• 南墙WAF，提供API既是可以自行编写防护规则。

从实际防护效果角度

1、简单手动模拟构建异常攻击请求，均能被拦截，如下面这些请求，

模拟 SQL 注入攻击: https://站点地址/?id=1+and+1=2+union+select+1

模拟 XSS 攻击: https://站点地址/?id=

模拟路径穿越攻击: https://站点地址/?id=../../../../etc/passwd

模拟代码注入攻击: https://站点地址/?id=phpinfo();system(‘id’)

2、利用BlazeHTTP工具进行评测

针对同一个站点，依次经过雷池、宝塔、南墙WAF进行防护后，利用BlazeHTTP工具进行扫描的结果如下，从结果上来看雷池准确率最高，宝塔最低。

总结

• 三款软件均有在持续迭代更新，使用过程若有bug或者问题应该都会有渠道反馈解决。从背景上来说雷池和南墙出品方都是专业的安全公司相对宝塔来说公司基因上面会更有优势。
• 若要说些优缺点的话，从简要体验结果来看
• 南墙，优点，后端web支撑负载均衡，支持自定义API这个有点技术门槛就是了。缺点，修改密码的时候动态口令一定需要开启，安卓用户使用 FreeOTP 不好安装。
• 宝塔，优点，支持端口转发,支持一键禁用境外ip访问，可以支持查看访问日志。
• 雷池，优点，防护效果最好，运行环境可以支持80、443已被占用的情形，功能强但是不少都是需要收费版才支持。