开源waf之 Naxsi、Naxsi和modsecurity对比

开源waf之 Naxsi

什么是Naxsi

官方github：https://github.com/nbs-system/naxsi

NAXSI is an open-source, high performance, low rules maintenance WAF for NGINX.
NAXSI是一个开源，高性能，低规则维护WAF。

Naxsi Naxsi 是第三方 nginx 模块 ,NAXSI是指NGINX抗XSS和SQL注入。,它和 Modsecurity 都是开源 WAF。

相对 ModSecurity，Naxsi 基于严格的字符过滤，结合白名单规则实现防御，可以认为是基于白名单的防御方式。优点是规则简单容易上手，基于白名单的方式可以防御未知的攻击，缺点是容易误杀，需要结合业务配置白名单。 Naxsi 提供了从日志中学习生成白名单的工具。

Naxsi 可以在两种模式下运行：拦截模式和学习模式。拦截模式下会利用每条规则去匹配请求，并累计匹配分数，一旦分数达到阀值，则拒绝此请求并记录日志。学习模式下同样会匹配请求累计分数，但是分数达到阀值之后仍然继续匹配剩下的规则，最后仅记录日志。拦截模式用于生产环境，学习模式用于记录正常请求生成白名单。

Naxsi 规则：
Naxsi 包含三种规则：MainRule (在 Nginx 的 http 段声明，一般作为黑规则) 、BasicRule (在 Nginx 的 location 段声明，一般作为白规则)、CheckRule (判断规则，在 Nginx 的 location 段声明)。黑规则声明检查域、检查内容、匹配分值。白规则声明例外条件和例外规则。 CheckRule 声明判断分数和防御手段。

Naxsi和modsecurity对比

Naxsi 和 ModSecurity 都是开源的 Web 应用程序防火墙（WAF）解决方案，它们具有类似的功能，都可以检测和防御针对 Web 应用程序的网络攻击，如 SQL 注入、跨站点脚本（XSS）和命令注入等。

Naxsi 和 ModSecurity 在以下几个方面存在差异：

1. 可扩展性：ModSecurity 的规则引擎和插件机制使得可扩展性更强，能够支持更多的应用层协议和安全事件。Naxsi 则缺少一些高级功能和可定制化选项。

2. 学习曲线：Naxsi 比较简单易用，基于正则表达式和黑名单技术，易于学习和上手。相反，ModSecurity 拥有更多的复杂特性和规则语言，需要较长时间的学习和配置。

3. 支持性：ModSecurity 被广泛使用，并受到大量更新和支持；Naxsi 的用户群体相比之下较小，缺少有效的社区支持。

4. 集成方式：相对来说，Naxsi 更容易与 Nginx 集成，而 ModSecurity 更适合与 Apache 集成；但两种 WAF 解决方案均支持与其他 Web 服务器集成。

总结：Naxsi 和 ModSecurity 都是优秀的 Web 应用程序防火墙解决方案，它们在不同的领域和应用场景中都有自己的优势。用户可以根据具体需求选择适合自己的 WAF 解决方案。

开源waf选择

目前，最流行的开源 Web 应用程序防火墙 (WAF) 解决方案应该是 ModSecurity。ModSecurity 是一个由 Trustwave 所开发和维护的 Apache 模块，已经被广泛使用和采纳。

ModSecurity 提供了强大的安全防护能力，并支持自定义规则，以适应更多的攻击类型和场景。它还提供了其他诸如反欺诈支持、HTTP 协议验证和威胁情报等高级功能，可以有效保护 Web 应用程序不受攻击。

此外，ModSecurity 有一个活跃的社区支持和开发者团队，定期发布更新版本，修正漏洞并增加新特性。这也使得 ModSecurity 成为了许多企业和组织首选的 WAF 解决方案之一。