伴随着互联网信息的不断发展，网络安全问题日益严峻，各类网络攻击注入cc、xss、sql注入、网站篡改层出不穷，让很多站长和网站运维人员都应接不暇，防护网络系统的成本逐渐增加，一款防火墙的价格普遍都需要几万到几十万之间，这对于中小企业是笔不小的支出，因此，我特意找了很多免费的web应用防火墙产品，推荐给大家，让大家的网站系统能够免受恶意攻击。

1、GOODWAF

这是国内的一款免费开源云waf产品，也是我最为推崇的产品，之所以推荐这款产品，有三个比较好的点。①这款产品确实是免费的，不像其它产品某些功能是免费的，但是重要功能就需要花费比较贵的价格购买，这款云waf都是免费的，可以放心使用。②基于云端开发的，不需要用户去部署，只需要添加域名再解析就能实现安全防护。③功能比较丰富，支持防cc、xss、crsf、sql注入、网站篡改、木马、暗链、盗链等多种攻击，具备主动防御技术，如网站源码加密、链接隐藏、元素变形等。具备态势感知功能，能够监测网站被攻击信息、网站攻击ip、被攻击页面等。

这款免费云waf如果一定说存在的问题，就是会有不兼容的问题，有时候其它网站使用会存在bug，导致网站打不开，需要找到问题并修复，再就是会有不稳定问题，整体还是非常满意的，毕竟是免费的。

2、ModSecurity

 这款web应用防火墙，我推荐了两次，主要是因为技术难度比较大，部署比较复杂。ModSecurity最开始是从一个安全模块发展起来的，逐渐成为开源的web应用防火墙，ModSecurity突出的特点就是核心规则非常多，目前应该有将近3万条左右，功能上具备sql注入、xss防护、ddos防护多常见的几十种攻击。分成window和linux两个版本，安装算是比较简单，但是配置规则难度较大，需要专业技术人员。

 3、sharewaf

国内的一款开源免费waf，需要在本地部署，具备防sql注入、cc攻击、网站篡改、反扫描、数据风控、防薅羊毛等功能，需要在本地进行部署，最好是有一台物理服务器，云主机也是可以稳定性会稍微差一点，功能非常全面，更新也比较快。难度是部署时候需要比较专业的技术，但是也在推出window版本的。

4、X-WAF

X-WAF是一款适用中、小企业的云WAF系统，让中、小企业也可以非常方便地拥有自己的免费云WAF。核心基于openresty + lua开发，waf管理后台：采用golang + xorm + macrom开发的，支持二进制的形式部署。

 5、HIHTTPS

 HIHTTPS是一款少有完整源码的高性能WEB应用 + MQTT物联网防火墙，是具备机器学习能力的一款云waf，能够自主AI学习，对抗网络攻击。特点是使用超级简单，就一个约10M的可执行文件，但防护功能一应俱全，包括：漏洞扫描、CC &DDOS、密码破解、SQL注入、XSS攻击等。但是目前个人版本是免费的，只供学习使用，商业版本是需要付费的，有条件的可以试用。

上述就是经过测试比较好的云waf产品了，如果大家有网站被攻击问题，可以试试上述产品。