freeotpphp技巧_WAF应用防火墙简要选型

由于现在不断提倡网络安全乃至已经成为一个国家的政策性哀求，出台网络安全法，推出网络安全等级保护制度，可见安全的主要性。
而网站作为中小型企业对外供应做事的一个入口，主要性就不容小觑，其余目前网络上涌现了很多安全方面的工具，网站漏扫的门槛越来越低，随便一个开源的工具就可以对站点进行漏扫,若创造漏洞进而利用就可能导致比较重大的安全事件。
以是针对中小型站点的安全保卫战就须要提上日程，增加一些方法手段保障站点的安全性，WAF便是一种比较得当的加固方案。

什么是WAF

Web运用程序防火墙，Web Application Firewall，简称WAF。
是一种供应保护Web站点免受恶意攻击和数据透露浸染的产品，它常日位于Web运用程序和网络之间，监控和过滤HTTP流量，以便检测和阻挡潜在的攻击。
WAF紧张有以下三种载体或者说办法供应做事

硬件WAF一样平常不适宜中小型站点，投入本钱较高，云WAF比较多跟云的场景结合现阶段也是本钱比较高的选择，软件WAF的办法现在市情上有根本免费版和按需增值版供选择，比较适宜中小型站点，可以选择根本免费版提高站点的安全门槛而不是在网络天下里裸奔，后续视业务的发展情形按需调度为更安全能力更强的收费版。

软件WAF简介

调研了市情上面的产品，从出品方的角度有专业公司和个人在运营的产品，紧张有以下几种：

安装实践

紧张对前三种软件南墙、雷池、宝塔WAF进行实际安装体验，全体体验过程紧张基于事前、事中、事后三个逻辑环节进行。

安装前干系文档获取，三款软件官网均具备完善的文档先容，产品均在持续迭代更新版本，还供应了沟通互换反馈的渠道如微信群，宝塔和雷池还供应了demo站提前体验。

三款软件均供应一键安装脚本，都是通过容器的办法运行，须要具备容器运行环境和80、443端口未被其他程序占用。
安装大略官方文档先容翔实就不做过多先容。

从后台功能点的角度

相同点：三款软件均供应了站点整体的运行情形如访问量、拦截量、QPS等运行数据和针对站点进行防护策略的配置；都有免费版和其他收费版本的差异。
免费版的差异点：

从实际防护效果角度

1、大略手动仿照构建非常攻击要求，均能被拦截，如下面这些要求，

仿照 SQL 注入攻击: https://站点地址/?id=1+and+1=2+union+select+1

仿照 XSS 攻击: https://站点地址/?id=

仿照路径穿越攻击: https://站点地址/?id=../../../../etc/passwd

仿照代码注入攻击: https://站点地址/?id=phpinfo();system('id')

2、利用BlazeHTTP工具进行评测

针对同一个站点，依次经由雷池、宝塔、南墙WAF进行防护后，利用BlazeHTTP工具进行扫描的结果如下，从结果上来看雷池准确率最高，宝塔最低。

总结