2023年推荐几款开源或免费的web应用防火墙

Posted 2023-03-29 corpcorp

2023年推荐几款开源或免费的web应用防火墙

2023年，数字经济将强势崛起，并且成为新一轮经济发展的动力，传统的黑客破坏性攻击如CC，转为更隐蔽的如0day进行APT渗透。所以无论私有服务器还是云厂商如Cloudflare、阿里云、腾讯云等都把web应用防火墙（WAF）作为网络安全的必配核心保护设施。
市场上99%的商业web应用防火墙（WAF）都是闭源，开源WAF虽多，但能直接实战部署的极少，可以对抗未知攻击的更是极其罕见。笔者搜遍了github和gitee，整理出下面几款能部署的web应用防火墙给大家收藏，一定有用的。

1、HTTPWAF
httpwaf是一款目前极其少有带web管理后台，提供永久免费版本的web应用防火墙。可以直接在生产环境部署的，支持自定义规则和未知攻击检测。优点是使用简单，1分钟就可以完成部署。缺点是：为了安全不联网，升级等只能手动进行。
项目地址：https://github.com/httpwaf/ 或者 ：https://gitee.com/httpwaf/

2、ModSecurity
ModSecurity是一个C++语言编写的，开源的、跨平台的Web应用防火墙（WAF），这个项目在2004年就启动了，可谓是WAF界的鼻祖，当初影响力并不大，随着时间的推移，越来越多的web应用需要部署防火墙就火起来了，很多其他WAF产品都或多或少受其影响，就开始来抄他。主要原因是安全社区OWASP很早就开发和维护着一套免费的保护规则，（又称ModSecurity的核心规则集)，其优点是：规则对抗已知攻击尚可。缺点是：无法对抗未知攻击，且某些环境误报率很高。
项目地址：https://github.com/SpiderLabs/ModSecurity

3、OpenResty+lua系列
OpenResty是以nginx+lua脚本语言为核心，可以扩展很多第三方模块的web应用服务器， 其中也有很多web应用防火墙的模块，如unixhot、loveshell、openwaf、verynginx等。优点是：lua语言二次编写过滤脚本简单。缺点：底层nginx修改非常复杂，而lua脚本语言，在人工智能算法、智能语义解析上很难和其他语言的生态相比，github上大多是技术研究型的半成品，离商业级的实战产品还需要大量技术和人力投入。
项目地址：https://github.com/openresty/

4、Janusec
Janusec是用go语言原创的Web应用网关，同时提供了WAF功能，拦截SQL注入/XSS/敏感数据泄露/CC防御等。JANUSEC应用网关提供了一个可供用户自行配置规则的基础设施，并预置了常见的Web高危漏洞的拦截规则。与其他WAF相比，JANUSEC应用网关的WAF除了支持传统的单检查点的规则外，还支持多个检查点联动的组合规则，这让防御更加灵活。。
项目地址：https://github.com/Janusec/Application-Gateway

5、AIHTTPS
aihttps是hihttps的升级版，特点是兼容ModSecurity规则，用智能语义解析实现对未知漏洞的发现，并且已经向未知攻击发现方向进化：使用机器学习自主生成对抗规则，来防御包括：恶意扫描、CC 、DDOS、SQL注入、XSS等。其商业版也开源，是目前商业化开源程度最高的web应用防火墙。
项目地址：https://github.com/qq4108863/ 官网：http://www.hihttps.com

总结：

可以确定的是：aihttps等对高级APT未知攻击的检测能力，将成为2023网络安全行业的发展趋势。网络攻防已经上升到国家之间的情报对抗，技术无国界，但网络安全从业者有国界，无论web安全技术如何发展，笔者始终站在祖国的一边。

几款免费开源BI工具

对于商业智能时代而言，BI工具的使用在企业乃至个人来说都不算是新鲜事了，如何借助合适的BI工具来发挥数据的价值才是最关键的。

但对于不少企业而言，选择合适的软件是一件让人头疼的事，本文将推荐几款市场上主流的开源BI工具供君选择~

1、FineBI

​​帆软FineBI​​是一款主打“自助大数据分析”的企业级BI软件，它适用于企业中的技术人员、业务人员和数据分析师，只需简单的拖拉拽动作即可完全自主探索式的数据分析工作。小编在这里介绍这款软件的两个特点：

1.1 探索式数据分析

顾名思义，就是你能够通过简单的自助分析操作生成的可视化结果，来进行深度的分析思考，以做出有理有据的决策。

1.2 灵活处理数据表

FineBI对于数据加工操作十分友好，你无需借助代码即可进行数据过滤、排序等操作，并且可视化结果随操作步骤做到了实时展现，十分便捷强大！

除此之外，帆软自主搭建了实施团队和服务团队，在服务上保障了技术支持、售后保障、文档帮助等服务性工作，这一点在国内同行业中都具备着十分明显的优势。

2、SpagoBI

它集成了Mondrain和JProvit，能够通过OpenLaszlo产生实时报表。SpagoBI使用Java开发，不依赖于具体的操作系统，有很强的扩展能力。

SpagoBI平台功能强大且复杂，它各个组件之间的模块化做得很好。缺点在于是国外的BI软件，因此在售后服务上没有优势。

3、网易有数

网易有数是一款企业级的开源BI工具，主要面向互联网行业的用户，是一款比较“年轻”的软件。

这款软目前的版本迭代较新，产品功能也比较基础、大众，在突出自身产品优势上做得比较欠缺，目前还是一个需要潜心打磨产品的BI工具。

4、Jaspersoft

Jaspersoft Studio是JasperReports库和JasperReports服务器的基于Eclipse的报告设计器; 它可以作为Eclipse插件或作为独立的应用程序使用。

Jaspersoft Studio可以创建包含图表，图像，子报表，交叉表等的数据可视化需求，但无法实现数据挖掘的需求。和SpagoBI一样，Jaspersoft商务智能套件是建立在模块的基础上的。

5、OpenI

OpenI是一款由Java开发的Web在线应用，能对OLAP服务器、关系数据库和数据挖掘服务器进行分析和报表展示，界面美观友好且易于使用和部署，后续还将支持数据挖掘和ETL等。

OpenI的各层衔接紧密，在做数据挖掘的时候不支持调度器。

OpenI没有自己的开发专属工具，入门门槛也相对较低。

但缺点之一是OpenI的文档很少，有关中文的参考信息则更少，因此不利于初学者入门学习BI。

6、Pentaho

Pentaho是世界上最流行的开源商务智能软件之一。

它是基于Java平台开发的BI工具套件，之所以说它是套件是因为它包括一个Web Server平台和几个工具软件：报表、分析、图表、数据集成、数据挖掘等。

Pentaho的中文文档多，国际化做的比较好。

在这里插播一个知识点：ETL领域里大名鼎鼎的Kettle工具也是属于Pentaho公司的。

这个软件更适合企业级别的用户去使用。它偏向于与业务流程相结合的BI解决方案，尤其侧重于大中型企业应用。

7、Microsoft Power BI

PowerBI是著名厂商微软旗下的BI产品，和上述提到的几款BI产品一样，PowerBI同样为用户提供快速开发、简单上手的产品功能。

PowerBI的一大优点在于，这款软件的Desktop版本几乎全免费，并提供1GB的数据容量，且尽可能多地保留付费版本的功能。

但缺点也很明显，就是上述Desktop版本并不支持协同办公，也就是说不支持共享操作你的BI成果，这对于团队工作来说无疑是致命缺点。

与此同时，PowerBI也是一款十分年轻的产品，2016年才正式推出。目前产品的设计对于国内非微软系的用户、团队而言都算不上十分友好（尤其是PowerBI的官网），因此我们还是静观其变吧~