众所周知，网站安全防护，对于企业非常重要。2020年HTTPS加密已经普及，传统的防火墙检测功能失效，所以对于网站来说，部署一个WEB应用防火墙十分重要，这方面商业产品很多，开源的也不少，这里经过大量搜索，整理出几款免费的产品供大家参考。

1、ModSecurity

ModSecurity最开始是一个Apache的安全模块，后来发展成为开源的、跨平台的WEB应用防火墙。它可以通过检查WEB服务接收到的数据，以及发送出去的数据来对网站进行安全防护。最厉害的是著名安全社区OWASP，开发和维护着一套免费的应用程序保护规则，这就是所谓OWASP的ModSecurity的核心规则集(即CRS)，几乎覆盖了如SQL注入、XSS跨站攻击脚本、DOS等几十种常见WEB攻击方法。

2、HiHTTPS

hihttps是一款免费的高性能WEB应用 MQTT物联网防火墙，兼容ModSecurity规则并开源。特点是使用超级简单，就一个约10M的可执行文件，但防护功能一应俱全，包括：漏洞扫描、CC &DDOS、暴力破解、SQL注入、XSS攻击等。

3、GOODWAF

GOODWAF是一款国内开发的免费云waf产品，基于云端开发，用户只需要注册添加域名、ip等信息，并解析域名就可以，非常简单好用，并且所有功能都是免费的，本人亲测，具备cc防护、xss跨站攻击防护、webshell防护、SQL注入防护等传统防护功能。同时还具备态势感知3D大屏，随时能监控攻击来源等信息。还创新了主动防护功能，具备网页源代码加密、JS混淆、动态令牌等功能，能有效防护网站安全，也有cdn功能，能加速网站打开。因为是国内开发的，所以会比国外开发的用起来舒服很多，没有付费的地方，推荐大家使用。

4、Cloudflare

Cloudflare也是一款比较好用的云waf产品，是一家美国厂商开发的，cloudflare具有防火墙、DDoS 保护、Rate limiting、机器人管理、VPN 等功能。同时cloudflare还具有自动waf更新功能，当发现适用于大部分用户的威胁时，会自动应用 WAF 规则来保护用户的Internet 资产。但是目前免费的功能只有DDOS防护了，waf功能需要付费才能使用。

总结：

云waf已经成为未来企业防护的重要选择，在几款云waf中GOODWAF使用最简单，防护效果也相当不错，适合企业使用。