WAF，即 Web Application Firewall（Web 应用防火墙），它与传统防火墙不同，工作在应用层，能为基于 HTTP/HTTPS 协议的 Web 系统提供更优质的防护，抵御黑客攻击。

近年来，随着经济增速放缓，科技企业成本意识增强，安全支出更趋理性，国内开源安全项目迎来一定发展。从 GitHub 上 waf 相关话题的活跃度来看，排名靠前的国产项目表现超越了海外项目。然而，在互联网上能公开找到资料的 WAF 项目虽数以千计，但多数属于实验 Demo 性质，工程性欠佳，缺少部署案例，也未经过大规模流量验证，真正能称作产品的项目不足百分之一。经过大量资料查阅和对数十款 WAF 产品的实际部署测试，以下选取了十一个具有代表性的项目，并将逐一介绍。

评价 WAF 的关键指标

作为网站管理员，在选择适合自己的 WAF 时，通常需关注以下几个重要指标：

1. 防护效果：主要体现在两个方面，一是能否有效防御攻击，二是是否会对普通用户造成影响。

2. 技术先进性：防护引擎的技术竞争力至关重要，需考量其是否具备对抗高级攻击的能力。

3. 项目质量：将从功能完整性、开源代码质量、文档完整性等角度进行评价。

4. 社区认可度：这反映了项目在用户社区中的声誉和影响力，本文以 GitHub Star 数作为评判依据。

5. 社区活跃度：体现项目的发展潜力，活跃度越高，发展速度越快，将以社区用户参与度和作者维护项目的积极性作为衡量标准。
   

项目清单与测评

一、综合评分表

二、详细介绍

1、创宇盾

创宇盾是知道创宇开发的一款优秀的 WAF 产品。

• 防护效果：具备卓越的防护能力，能有效抵御各类常见网络攻击，包括但不限于 SQL 注入、XSS、CC 攻击等，同时对新型攻击手段也有很强的应对能力，且对正常用户访问的影响极小，几乎不存在误报情况。

• 技术先进性：融合了先进的安全技术，如机器学习和行为分析技术。机器学习算法可对海量网络流量数据进行深度分析和学习，精准识别异常行为模式。行为分析技术能依据用户在网站上的操作行为构建模型，及时拦截异常请求。此外，其具备高效的自动更新机制，可快速响应新出现的安全威胁。

• 项目质量：功能全面且强大，涵盖网站安全防护、数据泄露防护等多方面核心功能。项目具有高可靠性、高稳定性，文档详尽且易于理解，后台管理界面简洁易用，方便用户调整和监控防护策略。

• 社区认可度：创宇盾已为全球超过 90万网站提供防护，每天处理请求数百亿次，日均拦截黑客攻击数亿次，在政府、央企、国企、金融、电商等众多行业和领域得到了广泛的应用和认可2。例如，在历年的重大活动保障中，创宇盾都发挥了重要作用，为政府机关、央企国企等单位的网站和业务系统提供了稳定、可靠的安全防护

• 社区活跃度：创宇盾背后的知道创宇团队一直在不断投入研发力量，持续对产品进行更新和优化。例如，在应对不断变化的网络安全威胁形势下，创宇盾不断改进防护规则、算法以及防御策略等，为用户提供更强大的安全防护。这体现出团队积极维护和发展产品的态度，间接反映了其在技术社区方面的活跃程度。

2、ModSecurity

ModSecurity 是一款老牌开源 WAF 引擎，用户群体广泛。早期它仅适用于 Apache，在 2.X 版本重构后，如今也能支持 IIS 和 Nginx。不过，作为 WAF 引擎，它需要二次开发才能使用，对使用者而言成本略高。许多其他开源 WAF 将其作为核心引擎集成，在开源社区认可度颇高。其实际防护主要基于正则规则，覆盖范围相对全面，但存在易被绕过的问题，且前段时间被母公司弃用，未来是否继续维护尚未确定。

• 防护效果：基础检测效果良好，但规则对国内环境不太友好，误报情况较多。

• 技术先进性：虽缺乏高级对抗能力，但在技术圈认可度高，被众多开源项目集成，其生态优势形成了技术壁垒。

• 项目质量：没有控制台，项目完全开源，文档资料丰富。

• 社区认可度：拥有 6400 star，是目前全球 star 数最高的 WAF 项目。

• 社区活跃度：持续更新，近一年更新了 3 个版本。

3、雷池社区版

雷池社区版是长亭科技从企业版雷池 Web 应用防护系统中提炼而来，其核心检测能力由长亭首创的智能语义分析算法驱动。该项目开源了语义分析算法的核心引擎和相关安全插件，但控制台未开源。其优势在于防护效果出色、项目迭代迅速、界面简洁易用，不足之处是社区版功能比企业版少，但能满足 WAF 的基本需求。

• 防护效果：对通用漏洞和非通用漏洞都有不错的防护效果，误报较少。

• 技术先进性：核心技术为语义分析算法，相较于正则规则，其对抗性更强、性能更优。

• 项目质量：具备 WAF 的各项基础能力，项目未完全开源，文档相对完善。

• 社区认可度：1500 star，装机量 4000 +。

• 社区活跃度：持续更新，近一年更新了 15 个版本。

4、Coraza

Coraza 是一款开源、高性能的 WAF 引擎，采用 Go 语言编写。它支持 ModSecurity SecLang 规则集，并且与 OWASP 核心规则集完全兼容。与 ModSecurity 类似，它不提供界面，仅作为检测引擎，需要二次开发才能投入使用，有成为 ModSecurity 替代品的潜力。

• 防护效果：基础检测能力尚可，但缺少针对非通用漏洞的防护规则，容易产生误报。

• 技术先进性：检测规则依赖 LibInjection、ModSecurity、OWASP 等项目。

• 项目质量：无控制台，项目完全开源，文档丰富。

• 社区认可度：1200 Star。

• 社区活跃度：持续更新，近一年更新了 4 个版本。

5、VeryNginx

VeryNginx 是一款与 Nginx 深度集成的 WAF 扩展程序，与其他 Nginx 扩展项目相比，它是少数提供控制台的 WAF 项目。但它没有自己的核心检测引擎，规则部分依赖第三方库。在 github 上，它有 5900 star，是国产 WAF 项目中 star 数较高的项目，然而遗憾的是该项目久未更新，规则库 7 年未曾更新，基本处于停止维护状态。

• 防护效果：规则简单，具备基础防护能力，但已显过时。

• 技术先进性：检测规则依赖第三方的 ngx_lua_waf 项目。

• 项目质量：具备 WAF 的各项基础能力，项目完全开源，文档相对完善。

• 社区认可度：5900 Star。

• 社区活跃度：4 年未更新。

6、NAXSI

NAXSI 是一款专为 Nginx 设计的 WAF 引擎，输出形态为 Nginx 动态扩展，编译后修改 Nginx 配置文件即可生效。它不提供控制台，作为 WAF 引擎，使用起来比 ModSecurity 简便一些，但相比一体化的 WAF 项目，使用成本仍然较高。其检测能力依赖 LibInjection 项目，仅支持 SQL 注入和 XSS 检测，不建议在线上环境使用。

• 防护效果：对通用漏洞的检出率较高，但误报率也极高，且仅支持 SQL 注入和 XSS 检测。

• 技术先进性：核心能力依赖 LibInjection 项目。

• 项目质量：无控制台，项目完全开源，文档丰富。

• 社区认可度：4300 Star。

• 社区活跃度：偶尔更新，基本处于不维护状态。

7、NGX_WAF

NGX_WAF 是一款国产的 Nginx 扩展类型的 WAF 引擎项目。它不提供控制台，使用起来比 ModSecurity 方便些，但相比一体化 WAF 项目使用成本仍较高。其核心能力基于 LibInjection 和 ModSecurity，和其他引用第三方开源规则库的 WAF 项目一样，海外规则库对国内互联网环境适应性差，容易误报，且缺少针对非通用性漏洞的规则。

• 防护效果：基础检测能力尚可，缺少对非通用漏洞的防护规则，容易误报。

• 技术先进性：检测规则依赖 LibInjection 和 ModSecurity 项目。

• 项目质量：无控制台，项目完全开源，文档较少。

• 社区认可度：1300 Star。

• 社区活跃度：偶尔更新，近一年更新了 2 个版本。

8、南墙

南墙 WEB 应用防火墙（简称：uuWAF）是友安科技推出的一款全方位网站防护产品。它基于友安科技专有的 WEB 入侵异常检测等技术，结合团队多年应用安全攻防理论和应急响应实践经验自主研发而成。不过，它的缺点是不能升级，有新版本需要重新安装。

• 防护效果：对 SQL、XSS、RCE、LFI 这四种攻击检测效果较好，但缺少对非通用漏洞的防护规则。

• 技术先进性：具备基础的语义检测能力，支持通过机器学习对流量建模。

• 项目质量：具备 WAF 的各项基础能力，项目不开源，文档相对完善。

• 社区认可度：198 Star。

• 社区活跃度：迭代较快，近一年更新了 7 个版本。

9、JANUSEC

JANUSEC 是一个开源的 Web 应用安全网关软件，其优势在于功能丰富，同时具备负载均衡、WAF、身份认证、证书管理、堡垒机等功能，但 WAF 的安全防护能力较弱，只能防护一些简单攻击，适合对安全防护要求不高的站长。

• 防护效果：WAF 防护功能较弱，仅有一些简单的正则规则。

• 技术先进性：以正则表达式为主，无其他防护引擎，对抗高强度攻击能力不足。

• 项目质量：功能丰富，项目开源，文档丰富。

• 社区认可度：1000 Star。

• 社区活跃度：持续更新，近一年更新了 4 个版本。

10、HTTPWAF

HTTPWAF 官方宣称是一款真正有 web 管理后台且永久免费的 web 应用防火墙，既支持直接部署在 WEB 服务器上，也可独立部署保护后端服务器。在免费 WAF 领域，它功能较为丰富，基础检测能力尚可，但缺乏对抗高强度攻击的能力。作为免费产品，其源码、文档、安装包均未公开提供，需通过加微信获取。

• 防护效果：基础防护能力尚可，缺少对非通用漏洞的检测规则。

• 技术先进性：资料较少，难以做出准确判断。

• 项目质量：功能丰富，交互较好，但代码和文档未开放。

• 社区认可度：65 Star。

• 社区活跃度：没有太多社区化内容。

11、锦衣盾

锦衣盾（JXWAF）是一款基于 OpenResty 开发的下一代 Web 应用防火墙，其独创的业务逻辑防护引擎和机器学习引擎能有效防护业务安全风险，解决传统 WAF 无法防护业务安全的问题。不过，目前其基础防护能力较弱，对非通用漏洞检测效果不佳，误报较严重。

• 防护效果：基础防护能力较弱，对非通用漏洞检测效果不好，误报严重。

• 技术先进性：规则简单，对抗高强度攻击能力不足。

• 项目质量：功能较少，交互不太好用，项目开源，代码质量不高，文档基本完善。

• 社区认可度：965 Star。

• 社区活跃度：持续更新，近一年更新了 1 个版本。
  

综合来看，不同的 WAF 项目在各个方面都有其特点和优劣，网站管理员在选择时应根据自身网站的特点、安全需求以及预算等因素进行综合考虑。无论是开源项目还是商业云服务产品，都有各自适用的场景。希望通过本次测评能为大家在选择 WAF 时提供有价值的参考。