雷池 WAF 社区版

官方介绍：一款足够简单、足够好用、足够强的免费 WAF。

基于业界领先的语义引擎检测技术，作为反向代理接入，保护你的网站不受黑客攻击。

雷池的社区认可度很高，优势在于性能好、防护能力强，缺点是控制台不适配手机端，出门在外做管理不太方便。

所有 WAF 中首推雷池，据说雷池企业版一套能卖到上百万，社区版复用了企业版的防护能力，安全能力有保障，这也是雷池社区版发布没多久就在 GitHub 上大火的主要原因。

GitHub 地址：https://github.com/chaitin/SafeLine

Star：8021 🌟

ModSecurity

ModSecurity 是经典 WAF 开源项目，多年来一直很受欢迎。

准确来说 ModSecurity 并不是一款 “WAF”，而是一个 “WAF 规则集”，ModSecurity 是绝大部分 WAF 的底层基石，它并不包含其他 WAF 常见的网站管理、日志管理等功能，甚至完全没有界面，ModSecurity 有的只是防护规则。

ModSecurity 不适合直接使用，需要配合二次开发做一定的定制才能用起来，上手门槛高。

GitHub 地址：https://github.com/owasp-modsecurity/ModSecurity

Star：7327🌟

南墙 WAF

官方介绍：一款社区驱动的免费、高性能、高扩展顶级Web应用和API安全防护产品。

南墙 WEB 应用防火墙是有安科技推出的一款全方位网站防护产品。通过有安科技专有的 WEB 入侵异常检测等技术，结合有安科技团队多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发而成。

目前南墙和飞致云有合作，可以通过 1panel 一键部署，用起来比较方便，最大的问题是目前不支持升级，每次更新都要铲掉重装一遍。

GitHub 地址：https://github.com/Safe3/uuWAF

Star：435 🌟

HTTPWAF

官方介绍：httpwaf 是一款永久免费的web应用防火墙，是最好用的 waf。

HTTPWAF 是一种基于 HTTP 协议的 WAF，它可以识别和阻止 HTTP 流量中的恶意请求。

HTTPWAF 是一款软件，可以安装在 Web 服务器之前，对 Web 应用程序的流量进行拦截和检查。它使用规则引擎来识别恶意请求并阻止它们，这些规则可以根据不同的应用程序和安全需求进行定制化。

HTTPWAF 比较封闭，公开的资料不多，也没有开放源码，根据仅有的资料和在线 Demo 来看，功能相对完善，但产品质量不高。

GitHub 地址：https://github.com/httpwaf/httpwaf2.0

Star：87🌟

宝塔 WAF

官方介绍：2 分钟内装好，配好立即见效果，会建网站就会使用。

宝塔 WAF 的前身是宝塔面板中的 Nginx 防火墙，主打上手简单，适合不太懂技术的小白用户使用，能起到一个比较基础的防护效果，缺点在于功能过于繁杂，每个点都做的不够深入。

宝塔 WAF 整体项目质量其实还可以，能达到中上水平，满足小白用户的基本需求，但是 GitHub 用户对安全有更专业的需求，因此在 GitHub 仅仅只有几十个标星。

GitHub 地址：https://github.com/aaPanel/BT-WAF

Star：34🌟