有哪些免费的Web应用防火墙（云waf）可供企业选择？

随着互联网攻击事件的日益频繁，不少网站都被打击的体无完肤，论企业网站不说，政府、教育、金融机构网站更是成为了黑客攻击的主要对象。一旦网站被攻击轻则损失名誉承担罚款，重则造成数据丢失，机密泄露承担刑事责任。

《网络安全法》对于网络安全事件最高罚款为100万元，除以15天以下拘留，一旦网站被攻击不仅自己要承担声誉和财产损失，还要被罚款，拘留，对于被攻击的网站简直不要太惨。

给大家说两个活生生的例子：

中移铁通有限公司北京分公司因网站受到境外黑客入侵篡改未及时处置，未全面履行法律义务，违反《中华人民共和国网络安全法》第二十五条：网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络入侵等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。受到了处一万元罚款，对直接负责的主管人员处五千元罚款的行政处罚。

2018年1月，河南新乡市封丘县图书馆网站遭到黑客攻击，致使网页被篡改。经查，封丘县图书馆未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施，致使网站遭到攻击。封丘县公安局依据《中华人民共和国网络安全法》第五十九条第一款之规定，对封丘县图书馆给予罚款2万元、对直接责任人海某给予罚款5000元的行政处罚;并建议依法依规追究相关人员责任。

一般最容易出现的网络攻击有几种：

1.破坏数据攻击。

这种攻击可能会对造成较大的影响，甚至可能让网站所有者蒙受较大的损失，一些大型网站发生的用户名和密码被盗取，很可能就是由于这种攻击所致。比较常见的SQL注入就属于这种攻击，专门破坏和攻击数据服务器。有的会把网站上的网页替换掉，还有的会修改网站上的网页，给网站带来很大的困扰。

2.挂马或挂黑链

一旦你的网站被挂上木马和黑链接，你的网站在打开时将很不正常，不是网页内容被修改，就是网页连带打开很多窗口等，这样的网站都属于被攻击所致。搜索引擎一旦检测数你的网站被挂马，就可能给你的网站降权性惩罚，严重的甚至被K掉。

3. 流量攻击

常见的就是cc攻击和ddos攻击，这是攻击网站的一个最常见的手段之一。这种攻击手段一般是采用大量数据包淹没一个或多个路由器、服务器和防火墙，网络带宽几乎被占用殆尽，使你的网站无法访问，处于瘫痪状态无法正常打开。

如何选择一款适合企业的防护产品？

目前比较有效防护上述安全事件的产品就是waf，但是硬件waf普遍价格较贵，都在几十万上下，也需要手动更新对于中小企业、政府、金融、教育机构来说成本较高，也比较麻烦。比较适合的反而是云waf ，云waf和硬件waf的功能类似，但是建立在云端，不需要安装软件和硬件，只需要把域名解析就行，非常简单，防护效果也很好。

目前国内比较常见的云waf有阿里云、腾讯云、华为云、天下数据等个厂家，但是价格比较贵，以阿里云企业版云waf为例，一年的价格需要12万多，这还是在没有增加配置之前，如果增加到最高配置，价格会翻好几倍。其它厂家隋然 略有降低，但是价格也在几万到10几万元，对于中小企业来说，是笔不小的支出。

也有免费的云waf产品，比如我最近使用的GOODWAF，这款云waf确实是免费的，原本我以为免费也是一些常规功能，其它的防护功能也需要付费，不过测试以后发现其它功能如SQL注入、xss攻击、webshell上传、源代码加密、js混淆、反爬虫、防篡改等功能都是免费的，很适合中小企业使用。

上面是一些前端的截图，可以看到一些常见的防护功能，还有态势感知等其他功能。