DUICUO

現在の場所: ホーム > 記事 > 2023年の無料オープンソースWAFトップ10

2023年の無料オープンソースWAFトップ10

WAFはWebアプリケーションファイアウォールの略です。従来のファイアウォールとは異なり、WAFはアプリケーション層で動作し、HTTP/HTTPSプロトコルに基づくWebシステムをより強力に保護し、ハッカーの攻撃から保護します。

近年、経済成長の鈍化に伴い、テクノロジー企業はコスト意識が高まり、セキュリティ支出に対する合理化が進んでいます。こうした状況を受け、国内のオープンソースセキュリティプロジェクトが活発に展開されています。GitHub WAF関連トピックの活動状況から判断すると、上位にランクインした国内プロジェクトは海外プロジェクトを上回っています。

オンラインで公開されているWAFプロジェクトは数千以上にも上りますが、そのほとんどは実験的なデモであり、エンジニアリング能力、導入事例、大規模なトラフィック検証が不足しています。これらのプロジェクトのうち、真に製品と言えるものは1%にも満たないのが現状です。膨大な情報に基づき、数十ものWAF製品で実際の導入テストを実施した結果、代表的な10のプロジェクトを選定しました。以下、それらを一つずつご紹介します。

WAFを評価するための一般的な指標

ウェブサイト管理者として、適切な WAF をどのように選択すればよいでしょうか?ここでは、最も頻繁に考慮される指標をいくつかご紹介します。

  • 保護の有効性: これには主に、攻撃を防ぐことができるかどうかと、一般ユーザーに影響を与えるかどうかという 2 つの側面が関係します。
  • 技術の進歩: 保護エンジンの技術的な競争力と高度な攻撃に対抗する能力。
  • プロジェクトの品質: この記事では、機能の完全性、オープンソース コードの品質、ドキュメントの完全性を評価基準として使用します。
  • コミュニティの受容度:これは、ユーザーコミュニティにおけるプロジェクトの評判と影響力を反映します。この記事では、GitHub スターの数を評価基準として使用します。
  • コミュニティの活動レベル:これは潜在能力を反映しており、活動レベルが高いほど開発が速いことを示しています。この記事では、ユーザーの参加と著者のプロジェクト維持への熱意を評価基準とします。

プロジェクトリスト

まずは総合スコア表を見てみましょう。

プロジェクト名

開発者

総合評価

モッドセキュリティ

スパイダーラボ

⭐️⭐️⭐️⭐️⭐️

Leichiコミュニティエディション

チャンティンテクノロジー

⭐️⭐️⭐️⭐️

コラザ

コラザ

⭐️⭐️⭐️⭐️

南壁

ユアンテクノロジー

⭐️⭐️⭐️

ヤヌセック

ヤヌセック

⭐️⭐️⭐️

ベリーNginx

ラブシェル

⭐️⭐️

httpwaf

怠け者

⭐️⭐️

ブロケードシールド

jx-sec

⭐️

NGX_WAF

ADD-SP

⭐️

ナクシ

NBSシステム

⭐️

モッドセキュリティ

ホームページ: https://www.modsecurity.org/

ModSecurityは、長年にわたり幅広いユーザー基盤を持つオープンソースWAFエンジンです。当初はApacheのみに対応していましたが、2.xのリファクタリングを経てIISとNginxにも対応しました。WAFエンジンとしては、統合型WAFプロジェクトと比較すると、利用に二次開発が必要となるため、ユーザーにとっては若干コストが高くなります。ModSecurityは、多くのオープンソースWAFのコアエンジンとして統合されており、オープンソースコミュニティでも高い評価を得ています。また、実際の保護機能は主に正規表現に基づいており、比較的広範囲にカバーされています。しかし、容易にバイパスされてしまうという欠点があります。最近、親会社によって開発が中止され、今後のメンテナンスは現時点では不明です。

画像

  • 保護の有効性: 基本的な検出は効果的ですが、ルールは家庭環境に適しておらず、誤報が発生しやすくなります。
  • 技術的進歩: 高度な偽造防止機能は備えていないものの、技術コミュニティ内では高い評価を得ており、数多くのオープンソース プロジェクトに統合されているため、そのエコシステムが技術的な障壁を構成しています。
  • プロジェクトの品質: コンソールなし、完全なオープンソース、豊富なドキュメント。
  • コミュニティの承認評価: 6400 個の星。世界で最も多くの星を獲得した WAF プロジェクトです。
  • コミュニティ活動: 継続的に更新されており、過去 1 年間に 3 つのバージョンがリリースされました。

Leichiコミュニティエディション

ホームページ: https://waf-ce.chaitin.cn/

LeiChi Community Editionは、Changting TechnologyのEnterprise Edition LeiChi Webアプリケーション保護システムの進化版です。その中核となる検出機能は、Changtingの先駆的なインテリジェントなセマンティック解析アルゴリズムによって駆動されています。このプロジェクトでは、セマンティック解析アルゴリズムのコアエンジンと関連セキュリティプラグインをオープンソース化していますが、コンソールはオープンソース化されていません。その利点は、強力な保護機能、迅速なプロジェクト反復、そしてシンプルでユーザーフレンドリーなインターフェースです。欠点は、Community EditionはEnterprise Editionに比べて機能が少ないことですが、WAFの基本要件を満たしています。

画像

  • 保護の有効性: 一般的な脆弱性と非一般的な脆弱性の両方に対して、誤検知が少なく、優れた保護を提供します。
  • 技術の進歩: コア技術はセマンティック分析アルゴリズムであり、正規表現ルールに比べて、より高い敵対的能力と優れたパフォーマンスを提供します。
  • プロジェクトの品質: WAF のすべての基本機能を備えています。プロジェクトは完全にオープン ソースではありませんが、ドキュメントは比較的完全です。
  • コミュニティの承認評価: 1500 個の星、4000 以上のインストール
  • コミュニティ活動: 継続的に更新されており、過去 1 年間で 15 バージョンがリリースされました。

コラザ

ホームページ: https://coraza.io/

Corazaは、Go言語で記述されたオープンソースの高性能WAFエンジンです。ModSecurity SecLangルールセットをサポートし、OWASPコアルールセットと完全な互換性を備えています。ModSecurityと同様に、ユーザーインターフェースは提供されておらず、検出エンジンとしてのみ使用されます。使用には二次開発が必要であり、ModSecurityの代替となる可能性を秘めています。

画像

  • 保護の有効性: 基本的な検出機能は許容範囲内ですが、非一般的な脆弱性に対する保護ルールがないため、誤検知が発生しやすくなります。
  • 技術の進歩: 検出ルールは、LibInjection、ModSecurity、OWASP プロジェクトに依存しています。
  • プロジェクトの品質: コンソールなし、完全なオープンソース、豊富なドキュメント。
  • コミュニティの承認率: 1200 星
  • コミュニティ活動: 継続的に更新されており、過去 1 年間に 4 つのバージョンがリリースされました。

ベリーNginx

ホームページ: https://github.com/alexazhou/VeryNginx

VeryNginxは、Nginxと深く統合されたWAF拡張機能です。他のNginx拡張機能と比較して、コンソールを提供する数少ないWAFプロジェクトの一つです。VeryNginxはコアとなる検知エンジンを提供しておらず、ルールはサードパーティ製のライブラリに依存しています。VeryNginxはGitHubで5900個のスターを獲得しており、国内開発のWAFプロジェクトの中で最も多くのスターを獲得しています。最大の問題は、プロジェクトが荒廃し、ルールベースが長年更新されておらず、実質的にメンテナンスが行われていないことです。これは非常に残念なことです。

画像

  • 保護の有効性: ルールはシンプルで基本的な保護を提供しますが、ルール ベースが 7 年間更新されていないため、やや古くなっています。
  • 技術的進歩: 検出ルールはサードパーティの ngx_lua_waf プロジェクトに依存しています。
  • プロジェクトの品質: WAF のすべての基本機能を備え、プロジェクトは完全にオープンソースであり、ドキュメントも比較的完全です。
  • コミュニティの承認率: 5900 星
  • コミュニティ活動: 4年間更新なし

ナクシ

ホームページ: [https://github.com/nbs-system/naxsi](https://github.com/nbs-system/naxsi)

NAXSIは、Nginx向けに特別に設計されたWAFエンジンです。出力はNginxの動的拡張バージョンであり、コンパイル後にNginx設定ファイルへの変更が有効になります。NAXSIにはコンソールは提供されていません。WAFエンジンとしてはModSecurityよりも使い勝手が良いですが、完全に統合されたWAFプロジェクトと比べると利用コストは依然として高くなります。検出機能はLibInjectionプロジェクトに依存しており、SQLインジェクションとXSS検出のみをサポートしているため、オンラインでの展開は推奨されません。

画像

  • 保護効果:一般的な脆弱性に対する検出率は比較的高いものの、誤検知率も非常に高くなっています。SQLインジェクションとXSS検出のみをサポートしています。
  • 技術的進歩: コア機能は LibInjection プロジェクトに依存しています。
  • プロジェクトの品質: コンソールなし、完全なオープンソース、豊富なドキュメント。
  • コミュニティの承認率: 4300 星
  • コミュニティ活動: 定期的な更新、最小限のメンテナンス。

NGX_WAF

ホームページ: https://github.com/ADD-SPngx_waf

NGX_WAFは、国産のNginx拡張型WAFエンジンプロジェクト(類似プロジェクトは多数存在します)です。NGX_WAFはコンソールを提供していません。WAFエンジンとしてはModSecurityよりも使い勝手が良いものの、統合型WAFプロジェクトと比較すると利用コストは依然として高めです。NGX_WAFの中核機能はLibInjectionとModSecurityをベースにしています。サードパーティ製のオープンソースルールライブラリを参照する他のWAFプロジェクトと同様に、海外のルールライブラリは国内のインターネット環境に適応しておらず、誤検知が発生しやすく、汎用性のない脆弱性に対するルールが不足しているという問題があります。

画像

  • 保護の有効性: 基本的な検出機能は許容範囲内ですが、非一般的な脆弱性に対する保護ルールがないため、誤検知が発生しやすくなります。
  • 技術的進歩: 検出ルールは、LibInjection プロジェクトと ModSecurity プロジェクトに依存しています。
  • プロジェクトの品質: コンソールなし、完全にオープンソース、ドキュメントが限られている。
  • コミュニティの承認率: 1300 星
  • コミュニティアクティビティ: 定期的に更新され、過去 1 年間に 2 つのバージョンがリリースされました。

南壁

ホームページ: [https://waf.uusec.com/](https://waf.uusec.com/)

Nanqiang Web Application Firewall(uuWAF)は、YouAn Technologyが開発した包括的なウェブサイト保護製品です。YouAn Technology独自のウェブ侵入異常検知技術と、長年にわたるアプリケーションセキュリティ攻撃・防御理論および緊急対応の経験に基づき、独自に開発されました。欠点はアップグレードが不可能なため、新しいバージョンをインストールするには、完全に削除して再インストールする必要があることです。

画像

  • 保護の有効性: SQL、XSS、RCE、LFI 攻撃の検出には優れていますが、非一般的な脆弱性に対する保護ルールが欠けています。
  • 技術的進歩: 基本的なセマンティック検出機能を備え、機械学習によるトラフィック モデリングをサポートします。
  • プロジェクトの品質: WAF のすべての基本機能を備えており、プロジェクトはオープンソースではなく、ドキュメントは比較的完全です。
  • コミュニティの承認率: 198 星
  • コミュニティ活動: 急速に反復され、過去 1 年間で 7 つのバージョンがリリースされました。

ヤヌセック

ホームページ: https://www.janusec.com/

JANUSECはオープンソースのWebアプリケーションセキュリティゲートウェイソフトウェアです。ロードバランシング、WAF、ID認証、証明書管理、要塞ホスト機能など、豊富な機能を備えているのがメリットです。デメリットは、WAFのセキュリティ保護機能が比較的弱く、一部の単純な攻撃しか防御できないことです。高いセキュリティ保護要件を持たないウェブサイト運営者に適しています。

画像

  • 保護の有効性: WAF 保護は比較的弱く、いくつかの単純な正規表現ルールしかありません。
  • 技術的進歩: 主に正規表現に基づいており、他の保護エンジンが不足しており、高強度の攻撃に抵抗する能力が不十分です。
  • プロジェクトの品質: 機能が豊富で、オープンソースであり、十分に文書化されています。
  • コミュニティの承認率: 1000 星
  • コミュニティ活動: 継続的に更新されており、過去 1 年間に 4 つのバージョンがリリースされました。

HTTPWAF

ホームページ: https://github.com/httpwaf/httpwaf2.0

HTTPWAFは、Web管理バックエンドを備えた真に無料のWebアプリケーションファイアウォールとして公式に宣伝されています。Webサーバーへの直接導入、またはバックエンドサーバーを保護するための独立した導入をサポートしています。無料WAF市場において、豊富な機能セットと十分な基本検知能力を誇りますが、高強度攻撃への対策能力は不足しています。無料製品であるため、ソースコード、ドキュメント、インストールパッケージは公開されておらず、入手するにはWeChatで追加する必要があります。

画像

  • 保護の有効性: 基本的な保護機能は許容範囲内ですが、非一般的な脆弱性に対する検出ルールが不足しています。
  • 技術の進歩: データが限られているため、判断が不可能です。
  • プロジェクトの品質: 機能が豊富でインタラクションも適切ですが、コードとドキュメントは公開されていません。
  • コミュニティの承認評価:65星
  • コミュニティ活動: コミュニティ関連のコンテンツはあまりありません。

ブロケードシールド

ホームページ: https://www.jxwaf.com/

JXWAFは、OpenRestyをベースとした次世代のWebアプリケーションファイアウォールです。独自のビジネスロジック保護エンジンと機械学習エンジンにより、ビジネスセキュリティリスクを効果的に保護し、従来のWAFでは保護できなかったビジネスセキュリティの課題を解決します。

画像

  • 保護の有効性: 基本的な保護機能が弱く、非一般的な脆弱性の検出はあまり効果的ではなく、誤検知がかなり頻繁に発生します。
  • 技術の進歩: ルールはシンプルですが、高強度の攻撃に対抗する能力が不十分です。
  • プロジェクトの品質: 機能が限られており、ユーザー インターフェイスが貧弱で、オープン ソースであり、コードの品質が低いが、ドキュメントは基本的なものである。
  • コミュニティの承認率: 965 星
  • コミュニティ アクティビティ: 継続的に更新されており、過去 1 年間に 1 つのバージョンがリリースされました。

元記事のアドレス: https://stack.chaitin.com/techblog/detail?id=115

ラベル

関連するおすすめ記事

ランダムにおすすめされた記事

人気のタグ