2020年始,用WAF(WEB應用防火牆)給網站做安全防護已然是剛需了,站長或是做網站安全維護朋友們都知道,這已不只是安全問題的真實需求,而且是等保2.0法律層面的要求,網站不做安全防護後果很嚴重。
WAF誠然有不少可選的,但絕大部分,或者說幾乎全部都是商業的,都是收費的。偶然有個別宣稱開源,如ModSeurity,基於Nginx的一個插件WAF,且不說繁雜到令人發狂的配置過程,其規則竟然是收費的,簡直是套路!
廣大的中小網站主們惆悵、眾多的個人網站主們更是心憂愁:難道沒有免費的WAF可用嗎?還真有,在下近日發現一款可以免費使用,而且功能性能都很不錯的WAF,而且是動態防禦型的WAF,它就是:ShareWAF!
迫不及待的趕緊試用了一番,感覺很不錯,推薦給同樣有需要的各位。下面帶大家一起快速體驗一下這款WAF的部署使用。
一、下載
ShareWAF在其官網就可以直接下載。
注意:是直接就可以下載。完全不像其它WAF產品那樣刁難:先是要求填寫個人信息,然後再審核你,然後再視情況決定給不給你用。
二、安裝
按照官網提示,先裝個NodeJS環境,然後進入NodeJS命令行,執行一條安裝命令:
<code>npm i/<code>
安裝過程很快,分分鐘的事:
很快,這就安裝好了。
三、運行
既然安裝好了,運行一個看看:
乖乖,已啟動好了?嗯哪,這款WAF已經跑起來了。
從開始下載到部署成功,連10分鐘不到。絕對的超神速、超快捷。
然後,可以去配置一下保護自己的網站了。這個過程也很簡單,但這裡不做多介紹了,ShareWAF官網有視頻,也有文檔,它的文檔也是開放下載的。簡單看看可以很快上手使用。
ShareWAF免費版和商業版有什麼區別?
還有一個問題是大家非常關心的,WAF這種產品體量可不小,免費的話,企業如何生存,怎麼提供持續服務呢?在下研究了一下發現ShareWAF其實是有商業版的,從ShareWAF官網來看,可以發現確實有商業授權版,跟免費版有一定的區別,但區別不大。
在下決定細分析一下,具體有哪些不同。
1、ShareWAF的後臺,有一個功能是需要獲得商業授權才可以開啟的。不過這個功能對我而言不是必須的,無影響,忽略它。
2、水印。在被保護的網站上,頁面會出現一個水印。
(經過簡單配置,在下的網站已經在ShareWAF的保護下了,而且嘗試了一下常見的SQL注入、XSS、掃描器掃描都能防護,效果著實可以。)
點擊會有提示:此網站正在ShareWAF的防護之下。
這個水印信息,好像還是有益的:可以讓人們知道網站已經使用WAF防護了,可以安全放心的訪問。就像網站加了備案號一樣,讓人們知道網站備案過了,是個合法網站。嗯,大概是這樣。
3、OEM
還有一個OEM的功能,是需要授權的。在下做為實際使用,並無OEM的需求。
那麼,忽略這幾個授權功能,在下可以安逸的使用免費版了。
總結
在下測試的是ShareWAFv2.0.6版。
從下載、安裝、配置,到網站被保護起來,總共用了大概20多分鐘,著實挺滿意的,已決定入坑,研究一下高級用法。
說實話,當下,國內能出現這樣一款免費的WAF實屬難得。相比之前高門檻、高價格的WAF,簡直是顛覆,大大的降低了WAF使用門檻。相信這正是很多中小企業、個人站長們都在急切尋找的WAF。
在此分享給大家。人人為我,我為人人!
閱讀更多 WangLiwen 的文章
