SamWaf是一款专为小微企业及个人打造的开源轻量级网站防火墙,支持私有化部署与全平台(Linux/Windows/Arm64)运行,无需依赖第三方服务。其独立防护引擎可拦截SQL注入、CC攻击等威胁,提供IP/URL黑白名单、访问频率限制及数据脱敏功能,搭配日志加密与一键配置,兼顾安全性与易用性,低成本构建网站安全防线。
SamWaf开源轻量级网站防火墙资源介绍
一、产品概述
SamWaf是一款专为小公司、工作室和个人网站设计的开源轻量级网站应用防火墙(WAF),其核心优势在于完全私有化部署、数据加密存储本地、零依赖第三方服务,并支持Linux、Windows 64位及Arm64架构。通过独立防护引擎(不依赖IIS/Nginx),SamWaf提供高效的攻击防护与灵活的配置管理,满足小型网站的轻量化安全需求。
二、核心功能特性
1. 基础防护能力
- 自定义规则引擎:支持通过脚本和可视化界面编辑防护规则,覆盖IP黑白名单、URL黑白名单、访问频率限制(CC攻击防护)等场景。
- 独立防护引擎:不依赖Web服务器(如IIS/Nginx),可独立部署于任意环境。
- 全局与分站策略:支持一键全局配置,亦可针对不同网站定制防护规则。
2. 数据安全与隐私
- 本地加密存储:所有日志(攻击日志、访问日志)加密保存,敏感信息脱敏处理。
- 通讯加密:网络传输过程中的日志数据加密,防止中间人窃取。
- 私有化部署:数据完全由用户掌控,避免云端泄露风险。
3. 部署与操作
- 多平台支持:提供Windows/Linux二进制文件及Docker镜像,支持一键启动或服务化安装。
- Windows:双击
SamWaf64.exe启动,或通过命令行管理(安装/启动/停止/卸载)。 - Linux:赋予执行权限后运行
./SamWafLinux64,支持服务化配置。 - Docker:通过
docker run命令部署,挂载配置、数据、日志目录。
- Windows:双击
- Web管理界面:默认访问地址
http://127.0.0.1:26666,默认账号admin/密码admin868(首次登录需修改密码)。
4. 扩展功能
- CC攻击防护:默认限制1秒内同一IP超过30次访问,阈值可自定义。
- SSL证书管理:支持手动粘贴证书内容,适用于HTTPS站点防护。
- 攻击日志审计:可视化展示攻击类型、来源IP、访问路径等,支持日志筛选与导出。
三、技术架构与开源信息
- 开源协议:代码完全开源(GPL-3.0),允许自由修改与二次开发。
- 技术栈:基于Go语言开发,采用模块化设计(如引擎核心、配置管理、代理模块等),支持插件扩展。
四、应用场景
- 小型企业官网:防御SQL注入、XSS攻击,保护客户数据与品牌形象。
- 个人博客/论坛:防止CC攻击导致服务不可用,记录异常访问行为。
- 工作室项目站点:对未公开的内部测试网站设置访问白名单,避免信息泄露。
- NAS/私有云防护:结合Docker部署,为家庭或小型办公网络提供入口安全管控。
五、部署与配置指南
- 快速启动:
- 下载对应平台的二进制文件或Docker镜像。
- Windows/Linux:直接运行可执行文件,或通过命令行安装为系统服务。
- Docker:映射端口(26666为管理端口,80/443为Web流量端口)并挂载配置目录。
- 基础配置:
- 登录Web界面,进入【网站防护】添加受保护站点(支持IP/域名)。
- 配置后端服务器地址(如内网Web服务器的IP+端口)。
- 高级规则:
- 在【引擎自带防护】中启用Bot监测、SQL注入检测等默认规则。
- 通过【手动规则】设置条件逻辑(如根据User-Agent、请求方法拦截特定请求)。
六、用户评价与优势
- 轻量高效:资源占用低,适合低配服务器或NAS设备。
- 易用性:提供可视化界面与脚本配置双重方式,降低技术门槛。
- 安全性:私有化部署避免云端风险,加密与脱敏功能满足合规需求。
- 局限性:相比ModSecurity等企业级WAF,规则复杂度与性能优化空间有限,但足以应对常见攻击。
总结:SamWaf以极简设计、私有化安全与灵活配置为核心,是小规模网站低成本构建防御体系的理想选择。无论是个人开发者还是小微企业,均可通过其开源特性实现快速定制与安全加固。
