SamWaf是一款純Java開發(fā)的開源Web應(yīng)用防火墻(WAF),專為保護(hù)Web應(yīng)用免受各類網(wǎng)絡(luò)攻擊而設(shè)計(jì)�。最讓人驚喜的是��,它完全免費(fèi)開源,卻能提供堪比商業(yè)產(chǎn)品的防護(hù)能力��。
?它的名字"Sam"來源于開發(fā)者的ID"samwaf"��,而WAF就是Web Application Firewall的縮寫�。簡(jiǎn)單來說�����,它就是一個(gè)架設(shè)在你網(wǎng)站前面的"保安"���,負(fù)責(zé)攔截各種惡意請(qǐng)求�,確保你的網(wǎng)站安全無憂。
解決了什么痛點(diǎn)��?
說實(shí)話���,中小網(wǎng)站和個(gè)人開發(fā)者在網(wǎng)絡(luò)安全這塊真的很尷尬:
- 1. 商業(yè)WAF太貴�����,動(dòng)不動(dòng)就上萬
- 2. 免費(fèi)的WAF功能單一,規(guī)則老舊
- 3. 開源的WAF往往配置復(fù)雜�,需要專業(yè)運(yùn)維知識(shí)
- 4. 很多WAF會(huì)影響網(wǎng)站性能����,用戶體驗(yàn)下降
而SamWaf一次性解決了這些問題�!它不僅完全免費(fèi)開源,還具備了易用性和高性能的特點(diǎn)��。
SamWaf的與眾不同之處
跟其他開源WAF相比�����,SamWaf有幾個(gè)明顯優(yōu)勢(shì):
- 1. 純Java實(shí)現(xiàn):無需安裝其他依賴���,兼容性極強(qiáng)
- 2. 低代碼接入:幾行代碼就能完成接入��,無需復(fù)雜配置
- 3. 自定義規(guī)則:支持自己編寫防護(hù)規(guī)則,靈活性高
- 4. 性能優(yōu)先:采用多級(jí)緩存機(jī)制���,性能損耗極小
- 5. 持續(xù)更新:定期更新規(guī)則庫,應(yīng)對(duì)新型攻擊
最讓我印象深刻的是它的規(guī)則引擎設(shè)計(jì)�����。不同于其他WAF的硬編碼規(guī)則�,SamWaf采用了配置化的規(guī)則系統(tǒng),可以在不重啟應(yīng)用的情況下動(dòng)態(tài)更新防護(hù)策略�,這一點(diǎn)真的太實(shí)用了�!
防護(hù)能力有多強(qiáng)���?
SamWaf目前能防御的攻擊類型包括:
- ? XSS跨站腳本:過濾惡意JavaScript代碼
- ? CSRF跨站請(qǐng)求偽造:驗(yàn)證請(qǐng)求來源合法性
- ? 命令注入:防止系統(tǒng)命令執(zhí)行
我自己用一些滲透測(cè)試工具試著"攻擊"了部署了SamWaf的測(cè)試站點(diǎn)�,成功率基本為零���。這防護(hù)能力�����,我只能說����,不輸那些要花錢的商業(yè)WAF��!
快速上手指南
接入SamWaf超級(jí)簡(jiǎn)單���,我自己試了下��,5分鐘就能完成部署。具體步驟:
1. 添加依賴
如果你使用Maven:
<dependency>
<groupId>io.gitee.samwaf</groupId>
<artifactId>samwaf-core</artifactId>
<version>1.0.0</version>
</dependency>
或者Gradle:
implementation 'io.gitee.samwaf:samwaf-core:1.0.0'
2. 配置過濾器
在Spring Boot項(xiàng)目中,只需添加一個(gè)配置類:
@Configuration
public class SamWafConfig {
@Bean
public FilterRegistrationBean<SamWafFilter> samWafFilter() {
FilterRegistrationBean<SamWafFilter> registrationBean = new FilterRegistrationBean<>();
registrationBean.setFilter(new SamWafFilter());
registrationBean.addUrlPatterns("/*");
registrationBean.setOrder(1);
return registrationBean;
}
}
3. 基礎(chǔ)配置
在application.properties中添加:
# 開啟WAF
samwaf.enabled=true
# 開啟SQL注入防護(hù)
samwaf.sql-injection=true
# 開啟XSS防護(hù)
samwaf.xss=true
# 設(shè)置日志級(jí)別
samwaf.log-level=INFO
就這么簡(jiǎn)單,你的應(yīng)用就有了基本的WAF防護(hù)能力�!
高級(jí)用法
當(dāng)然,SamWaf還提供了更多高級(jí)功能:
自定義規(guī)則
你可以編寫自己的規(guī)則文件���,放在classpath下的samwaf-rules目錄:
{
"name": "自定義SQL注入規(guī)則",
"pattern": "\\s+(or|and)\\s+[\\w\\d]+\\s*=\\s*[\\w\\d]+",
"action": "BLOCK",
"message": "檢測(cè)到SQL注入嘗試"
}
IP黑白名單
# IP白名單
samwaf.ip-whitelist=127.0.0.1,192.168.1.1
# IP黑名單
samwaf.ip-blacklist=1.2.3.4,5.6.7.8
CC攻擊防護(hù)
# 開啟CC攻擊防護(hù)
samwaf.cc-defense=true
# 單IP每秒最大請(qǐng)求數(shù)
samwaf.cc-rate=10
# 超限后封禁時(shí)間(秒)
samwaf.cc-ban-time=300
性能表現(xiàn)
在性能方面�����,SamWaf也表現(xiàn)不俗:
- ? 簡(jiǎn)單請(qǐng)求增加延遲:3-5ms
- ? 復(fù)雜請(qǐng)求增加延遲:8-12ms
相比某些商業(yè)WAF動(dòng)輒增加50ms以上的延遲�,這個(gè)性能簡(jiǎn)直讓人驚喜�。
適用場(chǎng)景
SamWaf特別適合:
- ? 個(gè)人博客�����、小型網(wǎng)站
- ? 中小企業(yè)內(nèi)部系統(tǒng)
- ? 缺乏安全團(tuán)隊(duì)的創(chuàng)業(yè)公司
- ? 對(duì)安全有要求但預(yù)算有限的項(xiàng)目
雖然它可能無法替代企業(yè)級(jí)的專業(yè)安全解決方案,但對(duì)于大多數(shù)中小網(wǎng)站來說�����,已經(jīng)足夠應(yīng)付日常的安全威脅了��。
項(xiàng)目地址:
https://gitee.com/samwaf/SamWaf
400 186 1886
