WAF 是 Web Application Firewall 的缩写，也被称为 Web 应用防火墙。区别于传统防火墙，WAF 工作在应用层，对基于 HTTP/HTTPS 协议的 Web 系统有着更好的防护效果，使其免于受到黑客的攻击。

开源 WAF 和商用 WAF（奇安信、绿盟、长亭、安恒这类）肯定是有区别的，商用 WAF 一般都是一套成熟的网站流量安全解决方案，而开源 WAF 更像是台式电脑的 CPU，他给你核心的算力，核心的实现，但是整体方案搭起来如何，完全看玩家个人手法。

以下是当前社区里最火的开源 WAF 项目。（根据 GitHub 标星数量排序）

雷池 WAF 社区版

官方介绍：一款足够简单、足够好用、足够强的免费 WAF。基于业界领先的语义引擎检测技术，作为反向代理接入，保护你的网站不受黑客攻击。

雷池的社区认可度很高，优势在于性能好、防护能力强，缺点是控制台不适配手机端，出门在外做管理不太方便。

所有 WAF 中首推雷池，据说雷池企业版一套能卖到上百万，社区版复用了企业版的防护能力，安全能力有保障，这也是雷池社区版发布没多久就在 GitHub 上大火的主要原因。

• GitHub：https://github.com/chaitin/SafeLine
  
• Star：8021 颗星
  

ModSecurity

ModSecurity 是经典 WAF 开源项目，多年来一直很受欢迎。

准确来说 ModSecurity 并不是一款 “WAF”，而是一个 “WAF 规则集”，ModSecurity 是绝大部分 WAF 的底层基石，它并不包含其他 WAF 常见的网站管理、日志管理等功能，甚至完全没有界面，ModSecurity 有的只是防护规则。

ModSecurity 不适合直接使用，需要配合二次开发做一定的定制才能用起来，上手门槛高。

• Github: https://github.com/owasp-modsecurity/ModSecurity
  
• Star：7327 颗星
  

南墙 WAF

官方介绍：一款社区驱动的免费、高性能、高扩展顶级Web应用和API安全防护产品。

南墙 WEB 应用防火墙是有安科技推出的一款全方位网站防护产品。通过有安科技专有的 WEB 入侵异常检测等技术，结合有安科技团队多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发而成。

目前南墙和飞致云有合作，可以通过 1panel 一键部署，用起来比较方便，最大的问题是目前不支持升级，每次更新都要铲掉重装一遍。

• GitHub: https://github.com/Safe3/uuWAF
  
• Star：435 颗星
  

HTTPWAF

官方介绍：httpwaf 是一款永久免费的web应用防火墙，是最好用的 waf。

HTTPWAF 是一种基于 HTTP 协议的 WAF，它可以识别和阻止 HTTP 流量中的恶意请求。HTTPWAF 是一款软件，可以安装在 Web 服务器之前，对 Web 应用程序的流量进行拦截和检查。它使用规则引擎来识别恶意请求并阻止它们，这些规则可以根据不同的应用程序和安全需求进行定制化。

HTTPWAF 比较封闭，公开的资料不多，也没有开放源码，根据仅有的资料和在线 Demo 来看，功能相对完善，但产品质量不高。

• GitHub: https://github.com/httpwaf/httpwaf2.0
  
• Star: 87 颗星
  

宝塔 WAF

官方介绍：2 分钟内装好，配好立即见效果，会建网站就会使用。

宝塔 WAF 的前身是宝塔面板中的 Nginx 防火墙，主打上手简单，适合不太懂技术的小白用户使用，能起到一个比较基础的防护效果，缺点在于功能过于繁杂，每个点都做的不够深入。

宝塔 WAF 整体项目质量其实还可以，能达到中上水平，满足小白用户的基本需求，但是 GitHub 用户对安全有更专业的需求，因此在 GitHub 仅仅只有几十个标星。

• GitHub：https://github.com/aaPanel/BT-WAF
  
• Star：34 颗星