# openWAF
**Repository Path**: SteveRocket/openWAF
## Basic Information
- **Project Name**: openWAF
- **Description**: 网络安全体系化建设SCMDB、EDR、NDR、CAASM、AEMS、HoneyPot、SIEM、XDR、VAS、LAS、TIS、VDBS、SOAR、THS、DSAS、AISPM、WAF、WSM、SSAP、NSRT、SecTools、ASES、BSMPS、UEBA、TPFWS、CNAPP、PTS、IoT SOC、AISOC
http://www.mdrsec.com
- **Primary Language**: Unknown
- **License**: Not specified
- **Default Branch**: master
- **Homepage**: None
- **GVP Project**: No
## Statistics
- **Stars**: 0
- **Forks**: 0
- **Created**: 2026-04-03
- **Last Updated**: 2026-07-03
## Categories & Tags
**Categories**: Uncategorized
**Tags**: None
## README
# Web防火墙(WAF)
## 关于我们
- 官网:
http://www.mdrsec.com
我们的技术文章和产品概述欢迎浏览我们的门户。
- 公众号:CTO Plus
最新的动态欢迎关注我们官方唯一公众号。
- 作者QQ
更详细更具体的需求,或者项目合作,或者问题 欢迎联系我。
- QQ群
我们官方组建的QQ群,如果您有兴趣也可以加入我们。
- 请喝咖啡
如果感兴趣,也可以请我喝杯咖啡
## 产品核心功能模块



Web防火墙(WAF)主要部署在Web应用前端,对流经的HTTP/HTTPS流量进行清洗和防护,重点解决Web层安全风险。Web应用防火墙已从早期的规则匹配工具,演进为集AI检测、Bot管理、API防护、业务合规于一体的综合性安全网关。
这里我将为大家介绍下我们自研的Web安全防护系统-Web防火墙(WAF)的核心功能架构——涵盖四大检测引擎的协同机制、访问控制与业务防护的精细化策略、可观测性与运维管理的完整能力,以及云原生时代的部署演进与性能评估要点。
## 产品定位
Web应用防火墙(Web Application Firewall,WAF)作为应用层安全的基础,已从最初的“签名匹配工具”演进为集**AI检测、Bot管理、API防护、业务合规**于一体的综合性安全网关。在企业数字化转型与云原生架构普及的双重驱动下,WAF的能力边界持续扩展——既要抵御OWASP Top 10等传统Web攻击,又要应对API滥用、恶意爬虫、0day漏洞等新型威胁,同时还需满足等保2.0、PCI DSS等合规框架的技术要求。
从架构视角看,WAF通常基于**反向代理**或**透明代理**模式部署于Web服务器前端,通过对HTTP/HTTPS流量的深度分析,在请求抵达应用服务器前完成威胁识别与处置。与网络层防火墙不同,WAF具备对加密流量的解密能力,可逐层解析请求行、请求头、请求体及响应内容,实现字段级的精准控制。
我们的WAF系统已形成**规则引擎+AI引擎+语义引擎+威胁情报**的多引擎协同架构,从单点防御走向纵深防护。与此同时,部署形态从硬件设备向SaaS化、云原生、容器化方向分化,以适配混合云与微服务架构的安全需求。
### 部分功能模块
下面是我们系统的部分功能模块
1. 基础业务配置
- 接入与部署:支持云模式(CNAME接入)和独享/原生模式(直接关联ELB或EIP),支持域名和IP两种防护对象。
- 协议支持:支持HTTP/HTTPS流量的防护,支持WebSocket和SSE协议,支持非标端口(非80/443)的防护。
2. Web应用攻击防护(OWASP Top 10)
- Web基础防护:内置规则库覆盖OWASP Top 10威胁,包括SQL注入、跨站脚本(XSS)、命令注入、路径遍历、WebShell上传、恶意爬虫等。
- 0Day虚拟补丁:在官方补丁发布前,通过云端同步的规则对突发高危漏洞进行临时拦截。
3. 访问控制与流量管理
- CC攻击防护:通过限制单个IP/Cookie/Referer在特定时间内的访问频率,识别并阻断应用层CC攻击。
- IP黑白名单:支持添加IP黑/白名单,阻断或放行特定来源IP的访问。
- 地理位置封禁:针对特定国家或地区的来源IP一键封禁。
- 精准访问控制:基于常见的HTTP字段(如IP、URL、Referer、User-Agent、Params等)组合条件进行细粒度的访问控制(如防盗链)。
4. 内容安全与防篡改
- 网页防篡改:缓存静态页面,当检测到源站页面被篡改时,自动返回缓存的正常页面。
- 防敏感信息泄露:对返回页面中的敏感信息(身份证号、电话号码、银行卡号)进行过滤或脱敏;拦截特定的HTTP响应码(如404、500)泄露。
- 网站反爬虫:结合人机识别技术(验证码、JavaScript指纹)和业务风控模型,精准识别并拦截恶意爬虫。
5. 高级安全配置
- TLS/SSL配置:支持PCI DSS/PCI 3DS合规认证,支持自定义TLS版本(v1.0/v1.1/v1.2)和加密套件。
- 隐私屏蔽:在日志记录中屏蔽请求中的敏感字段(如密码、Token),防止日志泄露。
- 攻击惩罚:对恶意请求拦截后,自动对攻击源IP进行一段时间的封禁。
- 全局白名单:针对特定业务请求忽略某些检测规则,用于处理误报。
6. 运维与可视化
- 安全可视化:提供实时流量、QPS、攻击类型分布、攻击源地理位置的监控仪表盘。
- 日志管理:支持全量日志记录(攻击日志、访问日志),支持将日志转储至大数据平台或对象存储,便于长期留存和分析。
- 告警通知:支持攻击告警、证书到期提醒等,通过邮件或短信通知运维人员。
## 核心安全防护能力
### 2.1 多引擎威胁检测体系
传统WAF依赖正则表达式与特征签名进行攻击识别,面对攻击载荷的编码变形、混淆绕过时误报率高、漏检率高。我们的WAF系统采用多引擎分层检测架构:
- **规则引擎**:作为基础防线,内置覆盖OWASP Top 10的漏洞特征库,包括SQL注入、XSS、命令注入、文件包含、CSRF、SSRF等攻击类型。规则库由安全团队持续运营,支持小时级的热更新,确保对高危漏洞的快速响应。
- **语义分析引擎**:针对SQL注入等结构化攻击,通过词法分析与语法解析还原攻击意图,而非简单匹配关键字。该引擎能有效识别多重编码、注释混淆等高级绕过手法,显著降低误报率。
- **AI/机器学习引擎**:基于对正常业务流量的自学习建模,识别偏离基线的异常请求。该引擎对0day漏洞、未知攻击模式具备检测能力,可弥补规则库的滞后性。已实现规则与AI双引擎协同,默认集成最新防护规则与优秀实践。
- **威胁情报联动**:整合云端威胁情报库,实时获取恶意IP、僵尸网络节点、匿名代理等信誉数据,在请求入口进行前置过滤,阻断已知恶意源。
### 2.2 CC攻击与DDoS缓解
CC(Challenge Collapsar)攻击通过模拟正常用户请求耗尽服务器资源,传统基于固定阈值的频率限制易误伤正常用户。我们企业级WAF的CC防护具备以下能力:
- **多维频率控制**:支持按IP、Cookie、Referer、User-Agent、Session等维度组合设置访问频率阈值,精准识别代理池轮换、分布式僵尸网络等高级CC攻击。
- **人机识别算法**:通过JavaScript挑战、CAPTCHA验证、行为轨迹分析等技术,动态区分真实用户与自动化脚本,对可疑客户端执行阶梯式处置(观察、验证、拦截)。
- **攻击惩罚机制**:对触发规则的恶意IP实施临时封禁,惩罚时长可自定义,避免持续消耗防护资源。
### 2.3 Bot管理与爬虫防护
业务安全驱动下,Bot管理已成为我们WAF系统的独立功能模块。其核心能力包括:
- **Bot特征指纹**:基于TLS指纹、HTTP头序、浏览器JS环境等维度构建设备指纹,识别伪装成浏览器的自动化程序。
- **行为建模**:通过分析会话时长、页面跳转路径、鼠标轨迹等行为特征,区分搜索引擎爬虫、商业数据采集与恶意爬虫。
- **爬虫处置策略**:支持对良性爬虫放行、对可疑爬虫执行验证、对恶意爬虫实施拦截或返回虚假数据的差异化处置。
### 2.4 API安全防护
随着微服务与Open API的普及,API成为攻击者绕开传统WAF的突破口。我们WAF系统的API安全能力涵盖:
- **API资产发现**:通过流量被动识别与主动扫描,自动生成API资产清单,识别影子API与僵尸端点。
- **API合规性校验**:对请求方法、参数类型、参数范围、鉴权方式进行Schema校验,阻断违背API契约的异常请求。
- **API威胁检测**:针对API越权、参数枚举、注入攻击、批量数据拉取等API特化威胁进行专项检测。
### 2.5 虚拟补丁与0day应急
对于新披露的高危漏洞,应用代码修复周期通常以周为单位。我们的WAF系统可以通过虚拟补丁机制,在不修改应用代码的前提下,在WAF层部署漏洞利用拦截规则,将修复窗口压缩至**小时级**。最快可实现紧急0day漏洞2小时内完成规则推送与生效。
### 2.6 网页防篡改与敏感信息保护
- **网页防篡改**:对静态资源(HTML、CSS、图片等)进行缓存与数字水印管理,当检测到源站内容被篡改时,自动向用户返回缓存中的正常页面,同时触发告警。
- **敏感信息防泄露**:对响应内容中的身份证号、手机号、银行卡号等敏感数据进行正则匹配,支持屏蔽或替换处理,防止信息泄露。同时支持对攻击日志中的密码等字段进行脱敏,满足隐私保护要求。
## 访问控制与业务防护
### 3.1 精细化访问控制
我们的WAF系统支持基于多维度的精准访问控制策略,字段组合灵活度直接反映产品的成熟度:
- **IP/地理位置控制**:支持IP黑白名单、IP段封锁、国家/地区级别的地理封禁,适用于阻断特定来源的恶意流量或满足数据不出境的合规需求。
- **HTTP字段组合**:支持基于URI、Referer、User-Agent、Cookie、Params、Header等数十种字段的条件组合,实现如防盗链、空字段拦截、特定路径保护等场景化策略。
- **全局白名单**:针对特定URL或参数设置规则豁免,降低误报对业务的影响。
### 3.2 协议合规与流量净化
- **HTTP协议规范化**:对请求的Method、HTTP版本、Header长度、URL深度等进行合规检查,防御HTTP请求走私、协议级DoS等利用协议缺陷的攻击。
- **非标端口支持**:除80/443外,支持对任意TCP端口的Web流量进行防护,满足非标业务架构需求。
- **WebSocket/SSE协议支持**:对长连接实时通信协议提供全量流量检测,覆盖WebSocket握手、帧数据传输、会话保持全生命周期。
### 3.3 站点隐藏与信息屏蔽
WAF作为反向代理,可隐藏后端服务器的真实IP、Web容器类型、中间件版本等信息。通过对Server头、错误页面的重写,避免信息泄露被攻击者用于情报收集。还支持后台蜜罐功能——通过部署伪装的管理后台引诱攻击者,捕获其攻击手法并自动拉黑。
## 可观测性与运维管理
### 4.1 日志审计与溯源
我们的WAF系统提供完整的审计日志,记录每次请求的以下维度信息:
- 请求时间、客户端IP、目标域名/URI、请求方法、响应状态码
- 攻击类型、触发规则、处置动作(放行/观察/拦截)
- HTTP头、Cookie、参数等上下文信息(支持脱敏)
日志支持实时检索、多维过滤,并可与SIEM/SOC平台对接。日志存储时长通常为180天至360天,部分产品支持延长至合规要求的周期。
### 4.2 安全可视化
通过仪表盘直观呈现攻击趋势、攻击来源分布、被攻击域名排行、QPS曲线等关键指标,帮助运维人员快速掌握安全态势。高级版本支持自定义报表,可按需导出PDF/Excel格式的周期报告,满足汇报与审计需求。
### 4.3 告警与通知
支持按攻击类型、攻击量级、连续攻击等条件配置告警阈值,通过短信、邮件、Webhook等渠道推送告警。配合自动化编排工具可实现告警→工单→处置的闭环流程。
### 4.4 高可用与容灾机制
- **硬件旁路**:硬件WAF设备故障时自动切换至旁路模式,保证业务流量不间断。
- **集群部署**:云WAF采用多区域多节点集群架构,单点故障时流量自动切换,保障99.99%可用性。
- **检测模式**:支持“仅检测不阻断”的观察模式,便于新规则上线前的业务影响评估。
## 合规支撑能力
我们的WAF系统提供满足国内外主流安全合规标准的技术控制项:
- **等保2.0**:满足通用安全要求中关于应用安全防护、访问控制、安全审计的条款。
- **PCI DSS**:支持PCI DSS 4.0关于Web应用防护、日志审计、传输加密的合规要求,部分产品已通过PCI DSS认证。
- **GDPR/数据出境**:通过地理位置封禁、敏感数据脱敏、日志存储地域选择等功能,辅助企业满足数据保护法规。
## 部署架构与扩展能力
### 6.1 部署模式对比
| 部署模式 | 特点 | 适用场景 |
|--------------|------------------------|---------------------|
| **硬件设备** | 低延迟、自主可控,支持透明/代理/旁路模式 | 数据中心、物理隔离环境、低延迟要求场景 |
| **SaaS-WAF** | 无需硬件投入,通过DNS引流,分钟级接入 | 公有云业务、分支机构、快速上线需求 |
| **云原生WAF** | 与ALB/API网关深度集成,流量不出VPC | 云上业务、容器环境、微服务架构 |
| **混合部署** | 敏感应用本地防护+普通业务云端防护 | 大型企业、多云策略、渐进式上云 |
### 6.2 扩展性与性能指标
- **QPS吞吐**:WAF的QPS上限从5000到百万级不等,支持按需弹性扩容。
- **带宽承载**:云WAF通常提供10M-100M不等的免费带宽,支持按量或带宽包扩展。
- **域名容量**:按域名包计费,支持泛域名与多级子域名。
- **时延控制**:WAF节点处理时延控制在毫秒级,部分产品实测<10ms。
## 七、系统功能评估要点
1. **检测准确率与误报率**:提供第三方测试报告(如OWASP基准测试),重点关注语义引擎和AI引擎的误报控制能力。
2. **0day响应SLA**:安全团队的运营能力,明确漏洞公告到规则生效的承诺时限。
3. **API安全深度**:评估API资产发现、Schema校验、敏感数据识别的功能完整度,而非将其作为附属功能。
4. **混合云支持能力**:能否跨本地数据中心、多云环境统一管理,策略能否一键同步。
5. **计费模型灵活性**:是否支持按QPS、按带宽、按攻击次数等多维度计费,避免资源浪费。
6. **生态开放性**:API接口、Terraform支持、SIEM对接、告警Webhook等自动化集成能力。
## 最后
我们的WAF系统已从单纯的“Web攻击拦截器”演变为**融合AI检测、Bot管理、API防护、业务合规**的综合安全平台。在多引擎协同、云原生适配、自动化运营的驱动下,WAF的能力边界持续扩展。对于产品决策者而言,选型时不应仅关注功能列表的丰富度,更需评估检测引擎的技术路线、安全团队的运营能力、以及与现有技术栈的融合深度。唯有将WAF嵌入DevSecOps全流程,才能在日益复杂的威胁态势下,真正构建面向业务的主动防御体系。
---
- 官网:http://www.mdrsec.com
- 产品文档:http://www.docs.mdrsec.com
- 系统演示环境:http://www.play.mdrsec.com
*本文由 http://www.mdrsec.com 官方出品,如需转载或深度讨论,请联系作者。* 更多需求问题、功能特性和定制化开发欢迎联系我们咨询。
## 产品清单
### 企业网络安全运营中心产品
- 资产安全配置管理系统(SCMDB)
- 终端侦测与响应系统(EDR)
- 网络侦测与响应系统(NDR)
- 企业网络资产攻击面管理系统(CAASM)
- 资产暴露面管理系统(AEMS)
- 网络安全蜜罐管理系统(HoneyPot)
- 安全事件收集与告警管理系统(SIEM)
- 扩展侦测与响应系统(XDR)
- 多引擎脆弱性扫描系统(VAS)
- 多源日志审计监测系统(LAS)
- 网络安全威胁情报中心(TIS)
- 网络安全漏洞库管理系统(VDBS)
- 网络安全编排与自动化响应(SOAR)
- 威胁狩猎系统(THS)
- 数据库安全审计系统(DSAS)
- AI智能体安全态势管理系统(AISPM)
- Web防火墙(WAF)
- 网站安全监测平台(WSM)
- 网络安全态势感知平台(SSAP)
- 网络安全自动化应急响应工具系统(NSRT)
- 企业网络安全运维工具系统(SecTools)
- 网络安全自动化等保测评系统(ASES)
- 浏览器安全监测防护系统(BSMPS)
- 网络安全用户实体行为分析系统(UEBA)
- 互联网电信诈骗预警防护系统(TPFWS)
- 云原生安全管理平台(CNAPP)
- 自动化渗透测试系统(PTS)
- 工业企业信息安全监测中心(IoT SOC)
- 企业智能安全运营中心(AISOC)
### 企业自动化运维产品
- 运维智能监控告警管理平台(AIMAMS)
- 企业网络工具系统(NTools)
- 自动化测试系统(AutoTest)
- 自动化运维系统(AutoOps)
- 企业运维工具系统(OpsTools)
- 物联网管理系统(IoTS)
- 软件开发生命周期管理系统(SDLC)
- IT流程管理系统(ITSM)
### 企业数字化运营资源管理系统产品
- 制造执行管理系统(MES)
- 运输管理系统(TMS)
- 跨境电商企业资源管理系统(ERP)
- 企业客户关系管理系统(CRM)
- 跨境电商仓库管理系统(WMS)
- 财务管理系统(FMS)
- 质量管理系统(QMS)
- 精准营销管理系统(PMS)
- 智能生产管理系统(SPMS)
- 电商BI系统(BI)
- 智能互联网分布式爬虫系统(AISpider)
## ABOUT
**【关于我们】**
* [主页:http://116.205.137.183/index_pro.html](http://116.205.137.183/index_pro.html)
* [Articulate v1.0](https://mp.weixin.qq.com/s/0yqGBPbOI6QxHqK17WxU8Q)
* [Articulate v2.0](https://mp.weixin.qq.com/s/V5Axn-ZWi22ubh5Jiocb9g)
[](https://github.com/zrf-rocket)
[](https://gitee.com/SteveRocket/)
 🥰
**【代码工程系列】**
* [Python和Go的设计模式](https://github.com/zrf-rocket/DesignPattern)
* GitHub:https://github.com/zrf-rocket/DesignPattern
* Gitee:https://gitee.com/SteveRocket/design_pattern
* [Python、Go的编码技巧cookbook](https://github.com/zrf-rocket/CookBook)
* GitHub:https://github.com/zrf-rocket/CookBook
* Gitee:https://gitee.com/SteveRocket/cook-book
* [Go代码示例](https://github.com/zrf-rocket/PracticeGo)
* GitHub:https://github.com/zrf-rocket/PracticeGo
* Gitee:https://gitee.com/SteveRocket/practice_go
* [Python代码示例](https://github.com/zrf-rocket/PracticePython)
* GitHub:https://github.com/zrf-rocket/PracticePython
* Gitee:https://gitee.com/SteveRocket/practice_python
* [Python Web框架的示例代码](https://github.com/zrf-rocket/PythonFramework)
* GitHub:https://github.com/zrf-rocket/PythonFramework
* Gitee:https://gitee.com/SteveRocket/python_framework
* [Rust代码示例](https://github.com/zrf-rocket/PracticeRust)
* GitHub:https://github.com/zrf-rocket/PracticeRust
* Gitee:https://gitee.com/SteveRocket/practice_rust
* [Vue代码示例](https://github.com/zrf-rocket/PracticeVue)
* GitHub:https://github.com/zrf-rocket/PracticeVue
* Gitee:https://gitee.com/SteveRocket/practice_vue
* [前端代码示例](https://github.com/zrf-rocket/PracticeFronted)
* GitHub:https://github.com/zrf-rocket/PracticeFronted
* Gitee:https://gitee.com/SteveRocket/practice_fronted
* [Python自动化测试框架](https://github.com/zrf-rocket/PythonTestAutomationFramework)
* GitHub:https://github.com/zrf-rocket/PythonTestAutomationFramework
* Gitee:https://gitee.com/SteveRocket/python_test_automation_framework
* [Python和Go的算法代码示例](https://github.com/zrf-rocket/Algorithms)
* GitHub:https://github.com/zrf-rocket/Algorithms
* Gitee:https://gitee.com/SteveRocket/Algorithms
* [Python和Go的数据结构代码示例](https://github.com/zrf-rocket/DataStructure)
* GitHub:https://github.com/zrf-rocket/DataStructure
* Gitee:https://gitee.com/SteveRocket/data_structure
* [编码规范](https://github.com/zrf-rocket/DevGuide)
* GitHub:https://github.com/zrf-rocket/DevGuide
* Gitee:https://gitee.com/SteveRocket/develop_guide
* [编码安全规范](https://github.com/zrf-rocket/SecGuide)
* GitHub:https://github.com/zrf-rocket/SecGuide
* Gitee:https://gitee.com/SteveRocket/security_guide
**【产品系列】**
* [主机监控系统-日志收集与报警管理系统(SIEM)](https://github.com/zrf-rocket/SIEM)
* GitHub:https://github.com/zrf-rocket/SIEM
* Gitee:https://gitee.com/SteveRocket/siem
* [安全运营中心(SOC)-终端侦测与响应系统(EDR)](https://github.com/zrf-rocket/EDR_SOC)
* GitHub:https://github.com/zrf-rocket/EDR_SOC
* Gitee:https://gitee.com/SteveRocket/edr_soc
* [DevSecOps-SDLC](https://github.com/zrf-rocket/DevSecOps-SDLC)
* GitHub:https://github.com/zrf-rocket/DevSecOps-SDLC
* Gitee:https://gitee.com/SteveRocket/dev-sec-ops-sdlc
* [AI图像识别-智能缺陷检测系统]()
* [基于AI图像识别的工业缺陷检测应用系统(GPU&FPGA)](https://mp.weixin.qq.com/s/04qefQFg-Pg1Gcqq1vBLQQ)
* [基于AI图像识别的智能缺陷检测系统,在钢铁行业的应用-技术方案](https://mp.weixin.qq.com/s/dSHbnuOwQZzE4CvPr1JYjg)
# 安全运营中心(SOC)-终端侦测与响应系统(EDR)