给大家推荐几款免费好用的云waf产品

1. hihttps

hihttps是一款免费的高性能的云waf。特点是使用超级简单，就一个约10M的可执行文件，但防护功能一应俱全，包括：漏洞扫描、CC &DDOS、暴力破解、SQL注入、XSS攻击等。更重要的是hihttps官方的基于机器学习的商业版本，也是免费的，由机器自动采集样本无监督学习，自动生成对抗网络。众所周知，阿里云/腾讯云等WAF非常贵，很多中小企业买不起，可以下载一个免费的hihttps试试。

官网：http://www.hihttps.com

2. FreeWAF

FeeWAF是一款开源的WEB应用防火墙产品，其命名为FreeWAF，它工作在应用层，对HTTP进行双向深层次检测：对于来自 Internet的 攻击进行实时防护，避免黑客利用应用层漏洞非法获取或破坏网站数据，可以有效地抵御黑客的各种攻击，如SQL注入攻击、XSS攻击、CSRF攻击、缓冲区 溢出、应用层DOS/DDOS攻击等；同时，对WEB服务器侧响应的出错信息、恶意内容及不合规格内容进行实时过滤，避免敏感信息泄露，确保网站信息的可靠性。

3. GOODWAF

  这是一款我最推荐的云waf产品，首先GOODWAF是终身免费使用的，而且配置很简单，只需要5分钟，就能够成功部署GOODWAF。而且GOODWAF除了传统云waf的防DDOS、防XSS跨站攻击、防SQL注入等功能，还创新了主动防护功能，利用JS混淆、Html加密、链接隐藏、 元素变形等技术手段主动防护网站安全。在测试的几款免费云waf中，GOODWAF的效果非常显著，而且配置简单，非常适合中小企业和个人用户使用。

官网：https://goodwaf.cn

4. OpenWAF

OpenWAF是基于Nginx_lua API分析HTTP请求信息,由行为分析引擎和规则引擎两大功能引擎构成，其中规则引擎主要对单个请求进行分析，行为分析引擎主要负责跨请求信息追踪。规则引擎的启发来自modsecurity，将ModSecurity的规则机制用lua实现。基于规则引擎可以进行协议规范，自动工具，注入攻击，跨站攻击，信息泄露，异常请求等安全防护，支持动态添加规则，及时修补漏洞。缺点是复杂，不适合不熟悉Nginx和lua语言的开发者。

项目地址：https://github.com/titansec/OpenWAF

5. Cloudflare

Cloudflare也是一款比较好用的云waf产品，是一家美国厂商开发的，cloudflare具有防火墙、DDoS 保护、Rate limiting、机器人管理、VPN 等功能。同时cloudflare还具有自动waf更新功能，当发现适用于大部分用户的威胁时，会自动应用 WAF 规则来保护用户的Internet 资产。cloudflare对于个人网站可以选择免费模式，对于企业网站也可以选择付费模式，使用其它功能。

官网：www.cloudflare.com/zh-cn/

评价：

1、GOODWAF是测试中比较好用的云waf产品，配置简单，防护效果也非常好。

2、传统的WAF规则已经很难对付未知漏洞和未知攻击，机器深度学习自动防御很可能是唯一有效途径，但真正具有人工智能的WAF还有很长的路。