aawaf 是一款基于语义分析的Web应用防火墙
Last updated Jul 10, 2026
715
Stars
135
Forks
34
Issues
+1
Stars/day
Attention Score
91
Topics
Language breakdown
No language data available.
▸ Files
click to expand
README
堡塔云WAF
官网 | 使用教程 | 演示站(Demo) | ARM和国产系统兼容表 | 更新日志 | API教程
International version install
堡塔云WAF介绍
>免费的私有云WAF防火墙 堡塔云WAF经过千万级用户认证、为您的业务保驾护航 采用反向代理的方式,网站流量先抵达堡塔云WAF 经过堡塔云WAF检测和过滤后,再转给原来提供服务的网站服务器。 堡塔云WAF是一个开源的Web应用程序防火墙,它可以保护网站免受SQL注入,XSS,CSRF,SSRF,命令注入,代码注入,本地文件包含,远程文件包含等攻击 兼容ARM和国产系统
性能
堡塔云WAF采用高性能的OpenResty,采用语义分析引擎过滤(95%)+正则匹配(5%)的混用模式匹配,可以有效的过滤掉恶意请求,并且不会影响网站的正常访问速度。 堡塔云WAF的性能测试结果显示,在高并发情况下,能发挥机器100%的性能、且无性能限制测试效果 如何测试请看教程
使用 blazehttp 进行测试
root@debian:/tools/bl/blazehttp-master# ./build/blazehttp -t http://192.168.77.79
sending 100% |██████████████████████████████████████████████████████████████████████| (33877/33877, 1918 it/s) [17s:0s]
总样本数量: 33877 成功: 33877 错误: 0
检出率: 83.13% (恶意样本总数: 658 , 正确拦截: 547 , 漏报放行: 111)
误报率: 0.08% (正常样本总数: 33219 , 正确放行: 33194 , 误报拦截: 25)
准确率: 99.60% (正确拦截 + 正确放行)/样本总数
平均耗时: 5.80毫秒
对比效果 (极低的误报率和极高的检出率)
| 类型 | ModSecurity, Level 1 | CloudFlare, Free | aaWAF | | -------------------------- | -------------------- | -------------------- | ---------------------- | | 总样本数量 | 33877 | 33877 | 33877 | | 检出率 | 69.74% | 10.70% | 83.13% | | 误报率 | 17.58% | 0.07% | 0.08% | | 准确率 | 82.20% | 98.40% | 99.60% |安装使用
语义分析模块列表
- ✅ SQL注入
- ✅ XSS跨站脚本攻击 (2026-02-02 重构完成 v7.2)
- ✅ 文件上传
- ✅ SSRF服务器端请求伪造 (2026-01-02 重构完成 v7.1)
- ✅ 命令执行
- ✅ 文件包含
- ✅ PHP代码注入
- ✅ PHP反序化漏洞
- ✅ Java代码注入
- ✅ Java反序列化漏洞 (如CC1、CC2、CC3)
- ✅ 模板注入(Jinja2、Twig、Smarty 、FreeMarker、Velocity)
- ✅ XML外部实体注入(XXE)
- ✅ ASP.NET代码注入 (2025-08-21更新)
- ✅ NodeJs代码执行 (2025-12-19更新)
正则匹配模块列表
- ✅ 恶意爬虫(UA)
- ✅ 扫描器检测(UA+header头)
- ✅ 恶意下载(备份文件)
- ✅ Nday漏洞(如DedeCMS、PHPCMS等)
- ✅ 弱密码防护 (如123456、password等) (2025/12/19 重构完成 v7.2)
解码模块列表 (最大自动解密三层)
- ✅ URL解码
- ✅ Unicode解码
- ✅ Base64解码
- ✅ 十六进制解码(Hex)
- ✅ Json解码
- ✅ Gzip解码 (V7.1新增)
- ✅ XSS引擎解析HTML各类编码 (2026-02-02 V7.2新增)
- ✅ XML 解码 (2026-02-06 V7.2新增)
测试拦截的payload 拦截测试表
未来更新的模块
- [0] ASP.NET代码注入
- [1] Java 反序列化
- [2] Java代码注入:
- [3] 模板注入:
- [4] Nday漏洞:
- [5] CC攻击:
- [6] 机器学习模块:
在线演示(Demo)
演示地址:https://btwaf-demo.bt.cn:8379/c0edce7a堡塔云WAF工作原理图
在线安装
使用SSH工具登录服务器,执行以下命令安装:URL=https://download.bt.cn/cloudwaf/scripts/installcloudwaf.sh && if [ -f /usr/bin/curl ];then curl -sSO "$URL" ;else wget -O installcloudwaf.sh "$URL";fi;bash install_cloudwaf.sh
离线安装
注意,此安装方式适用于服务器无法连接公网节点时的选择
- 离线安装时必须手动安装 docker,否则无法安装
- 离线安装前请确保您的服务器存在 tar gzip curl netstat ss docker 命令,可以使用此命令检查是否存在:
Packs=("curl" "tar" "gzip" "netstat" "ss" "docker" ); for pack in "${Packs[@]}"; do command -v "$pack" >/dev/null 2>&1 || echo -e "\03331mError: $pack 命令不存在\033[0m"; done
- 离线安装脚本:[点击下载离线安装脚本
- 下载镜像文件:点击下载镜像文件
- 下载cloudwaf程序文件:点击下载cloudwaf程序文件
bash install_cloudwaf.sh offline
安装完成后,登录步骤与在线相同
功能介绍
0.3D攻击地图
2.拦截记录
3.命中记录
4.攻击地图
联系我们
>1. GitHub Issue >2. WX 二维码
SSE 配置
如果您网站中需要设置SSE 可以参考如下的配置
location ^~ /chat/openai/ {
proxy_pass http://192.168.10.1;
proxyhttpversion 1.1;
proxyreadtimeout 600s;
proxysendtimeout 600s;
proxyconnecttimeout 60s;
proxyignoreclient_abort off; # 明确设置(虽是默认,但写上更保险)
proxyrequestbuffering off; # 可选:进一步确保不缓冲请求体
proxy_buffering off;
proxy_cache off;
chunkedtransferencoding on;
tcp_nopush on;
tcp_nodelay on;
proxysetheader Host $host;
proxysetheader X-Real-IP $remote_addr;
proxysetheader X-Forwarded-For $proxyaddxforwardedfor;
proxysetheader X-Forwarded-Proto $scheme;
proxysetheader REMOTE-HOST $remote_addr;
proxysetheader Upgrade $http_upgrade;
proxysetheader Connection "Upgrade";
proxypassrequest_headers on;
}
开源的引擎
>1. PHP解析引擎 【已开源】 >1. SpEL解析引擎 【已开源】 >1. OGNL解析引擎 【已开源】 >1. FreeMarker解析引擎 【已开源】 >1. Velocity解析引擎 【已开源】 >1. SnakeYAML解析引擎 【已开源】🔗 More in this category