開源waf有哪些？

1、ModSecurity
ModSecurity已經有10多年的歷史，最開始是一個Apache的安全模塊，后來發展成為開源的、跨平臺的WEB應用防火墻。它可以通過檢查WEB服務接收到的數據，以及發送出去的數據來對網站進行安全防護。
最厲害的是著名安全社區OWASP，開發和維護著一套免費的應用程序保護規則，這就是所謂OWASP的ModSecurity的核心規則集(即CRS)，幾乎覆蓋了如SQL注入、XSS跨站腳本、DOS等幾十種常見WEB方法。
項目地址：https://github.com/SpiderLabs/ModSecurity

2、HiHTTPS

hihttps是一款少有完整源碼的高性能WEB應用 + MQTT物聯網防火墻，兼容ModSecurity規則并開源。特點是使用超級簡單，就一個約10M的可執行文件，但防護功能一應俱全，包括：漏洞掃描、CC &DDOS、密碼破解、SQL注入、XSS***等。
更重要的是hihttps基于機器學習的商業版本，也是免費的，由機器自動采集樣本無監督學習，自動生成對抗規則。眾所周知，阿里云/騰訊云等WAF非常貴，很多中小企業買不起，可以下載一個免費的hihttps試試。
項目地址：https://github.com/qq4108863/  官網：http://www.hihttps.com

3、 Naxsi
Naxsi 是一款基于Nginx模塊的防火墻，有自己規則定義，崇尚低規則。項目由C語言編寫，需要熟練掌握Nginx源碼的才能看懂。
項目地址：https://github.com/nbs-system/naxsi

4、OpenWAF

OpenWAF是基于Nginx_lua API分析HTTP請求信息,由行為分析引擎和規則引擎兩大功能引擎構成，其中規則引擎主要對單個請求進行分析，行為分析引擎主要負責跨請求信息追蹤。
規則引擎的啟發來自modsecurity及freewaf(lua-resty-waf)，將ModSecurity的規則機制用lua實現。
基于規則引擎可以進行協議規范，自動工具，SQL注入，跨站***，信息泄露，異常請求等安全防護，支持動態添加規則，及時修補漏洞。缺點是復雜，不適合不熟悉Nginx和lua語言的開發者。
項目地址：https://github.com/titansec/OpenWAF

5、FreeWAF
FeeWAF是一款開源的WEB應用防火墻產品，其命名為FreeWAF，它工作在應用層，對HTTP進行雙向深層次檢測：對 Internet進行實時防護，避免***利用應用層漏洞非法獲取或破壞網站數據，可以有效地抵御***的各種***，如SQL注入、XSS、CSRF***、緩沖區 溢出、應用層DOS/DDOS***等；同時，對WEB服務器側響應的出錯信息、惡意內容及不合規格內容進行實時過濾，避免敏感信息泄露，確保網站信息的可靠性。但項目已經很久沒更新了。

6、ESAPI WAF
這是OWASP ESAPI 項目提供的一個開源WAF，基于J2EE實現，其主要利用XML的配置方式驅動防火墻。安裝時，在WEB.xml中將ESAPIWEBApplicationFirewallFilter配置為filter，在應用程序之前和之后處理輸入和輸入。

7、unixhot
unixhot是使用Nginx+Lua實現自定義WAF，一句話描述，就是解析HTTP請求（協議解析模塊），規則檢測（規則模塊），做不同的防御動作（動作模塊），并將防御過程（日志模塊）記錄下來，非常簡單。
項目地址：https://github.com/unixhot/waf

8、Java WAF
用Java開發的WAF很少，我們發現一個使用Java開發的API Gateway，由于WAF構建在開源代理LittleProxy之上，所以說WAF底層使用的是Netty。功能上支持安全攔截、各種分析檢測、腳本（沙箱）、流控/CC防護等。不會C語言，是Java愛好者的福音。
項目地址：https://github.com/chengdedeng/waf

9、X-WAF
X-WAF是一款適用中、小企業的云WAF系統，讓中、小企業也可以非常方便地擁有自己的免費云WAF。核心基于openresty + lua開發，waf管理后臺：采用golang + xorm + macrom開發的，支持二進制的形式部署。
項目地址：https://github.com/xsec-lab/x-waf

10、VeryNginx
VeryNginx 也是基于 lua_Nginx_module(openrestry) 開發，實現了高級的防火墻、訪問統計和其他的一些功能。 集成在 Nginx 中運行，擴展了 Nginx 本身的功能，并提供了友好的 WEB 交互界面。
項目地址：https://github.com/alexazhou/VeryNginx/

評價：
傳統的WAF規則已經很難對付未知漏洞和未知***，商業waf已經從傳統特征工程轉向機器學習自動防御，這方面的開源waf幾乎沒有，hihttps是唯一一個免費并且支持機器學習的waf，未來WEB安全必然是AI的天下。