WAF想必大家都不陌生，就是WEB网站的防火墙，用来保护网站安全免受外界攻击，一般waf有三种形态，软件waf、硬件waf、云waf。

今天测试的两款waf一款是云waf名叫GOODWAF，一款是软件waf名叫ModSecurity，之所以选择这两款waf，是因为他们有一个共同点，都是开源的，也就是都是免费的。

我们先看第一款，GOODWAF。

从界面上可以看到，云waf是通过移交域名解析权实现安全防护的，通过改变原有的解析方式，解析到waf节点上，恶意流量就能够被挡住。

可见的功能主要是有：

传统WAF功能：防御SQL注入、防XSS跨站攻击、防web木马、防webshell上传、防盗链、关键字过滤等功能。

主动防御功能：如oday漏洞防护、扫描防护、溢出防护、网页源码加密、js保护等。

人机识别功能：如脚本攻击识别、机器人识别、防自动化攻击、防爬虫、防撞库、防暴力破解等。

数据风控功能：注册防控、消息防控、登录防控等功能。

态势感知功能：攻击溯源、数据显示、LED大屏显示、3D动态效果等功能。

使用方法还是比较简单的，用手机号注册账号，然后实名认证，添加域名、ip、备案信息等，基本信息就算是添加完成。但是还需要一步，就是去域名管理后台解析域名，这步比较简单。

通过上面的步骤，解析完域名以后，就实现了网站的安全防护，同时在后台可以选择相应的功能，js防护、源码防护、白名单、黑名单等等。

第二个测试的是modsecurity，这一款软件waf，ModSecurity最开始是一个Apache的安全模块，后来发展成为开源的、跨平台的WEB应用防火墙。它可以通过检查WEB服务接收到的数据，以及发送出去的数据来对网站进行安全防护。

这次测试的是ModSecurity 稳定版 (v3.0.4)

一、安装VCredist

在安装ModSecurity之前需要安装VCredist。

下载完成后，直接安装即可。

二、安装ModSecurity

按照操作系统下载对应的ModSecurityIIS，点击此处下载32位ModSecurityIIS，点击此处下载64位ModSecurityIIS，下载后复制到服务器内，直接安装即可。

安装成功后，applicationHost.config文件（位于C:\Windows\System32\inetsrv\Config目录下），会自动添加以下内容，表示IIS下所有网站都会默认使肕odSecurity进行防护：

三、规则配置

虽然IIS版的ModSecurity安装后自动包含了规则文件，但由于自带的规则文件版本较老，因此需要手动将规则文件进行更新。

首先，访问https://github.com/coreruleset/coreruleset下载规则文件：

下载后上传到服务器，将解压后的"crs-setup.conf.example"重命名为"crs-setup.conf"后复制到ModSecurity安装目录下，即C:\Program Files\ModSecurity IIS。

将c:\inetpub\temp\文件夹与c:\inetpub\logs\赋予IIS_IUSRS与IUSR完全控制权限。

重启IIS。

四、测试防御效果

访问http://服务器IP或域名/?param=%22%3E%3Cscript%3Ealert(1);%3C/script%3E，查看防御效果。

同时可在"控制面板-管理工具-事件查看器-Windows日志-应用程序"中查看拦截日志。

经过测试，软件waf相比云waf来说，安装方式比较复杂，云waf只需要通过解析域名就能实现了安全防护。软件waf需要安装以后需要配置规则，相比于云waf来说更为复杂，但是稳定性也要高一些。建议站长、小企业可以用云waf，如果是技术人员可以用软件waf。