一、了解WAF及其作用

Web应用防火墙是一种专门用于护着Web应用程序的平安设备或柔软件。它位于Web应用程序和互联网之间， 和阻止不符合平安规则的求，从而护着Web应用程序的平安。

二、 选择免费的WAF解决方案

买卖场上有许许多免费的WAF解决方案可供选择，

• ModSecurity：ModSecurity是一个开源的Web应用防火墙模块，可与Apache、Nginx等Web服务器集成。
• NAXSI：NAXSI是一个基于Nginx的开源WAF模块，它和阻止异常求。
• Cloudflare：Cloudflare是一家知名的CDN和睦安服务给商，它给免费的WAF服务。

三、 用ModSecurity设置WAF

ModSecurity是一个功能有力巨大且广泛用的开源WAF，下面将详细介绍怎么在Apache服务器上安装和配置ModSecurity来别让SQL注入打。

1. 安装ModSecurity

sudo apt-get update
sudo apt-get install libapache2-mod-security2
    

sudo nano /etc/modsecurity/
    

在配置文件中， 找到以下行并进行修改：

SecRuleEngine On
    

将其改为：

SecRuleEngine DetectionOnly
    

3. 安装OWASP ModSecurity Core Rule Set

cd /tmp
wget https://github.com/SpiderLabs/owasp-modsecurity-crs/releases/download/4.0.0/owasp-modsecurity-crs-4.0.0.tar.gz
tar -xzf owasp-modsecurity-crs-4.0.0.tar.gz
sudo mv owasp-modsecurity-crs-4.0.0 /etc/modsecurity/crs
sudo cp /etc/modsecurity/crs/crs- /etc/modsecurity/crs/crs-
    

4. 配置CRS

Include /etc/modsecurity/crs/crs-
Include /etc/modsecurity/crs/rules/*.conf
    

5. 沉启Apache服务器

sudo systemctl restart apache2
    

四、用Cloudflare设置WAF

Cloudflare是一个轻巧松容易用的免费WAF解决方案，

1. 注册Cloudflare账户

访问Cloudflare官方网站，注册一个新鲜账户。

2. 添加网站

登录Cloudflare账户后 点击“Add a Site”按钮，输入要护着的网站域名，然后点击“Begin Scan”。

3. 配置DNS记录

Cloudflare会扫描你的网站DNS记录，并给一个新鲜的DNS配置。将你的域名的DNS服务器修改为Cloudflare给的DNS服务器。

4. 启用WAF

在Cloudflare的网站管理界面中， 点击“Security”选项卡，然后选择“WAF”。启用WAF功能，并选择“Default”规则集。

5. 自定义规则

能根据需要自定义WAF规则，比方说添加自定义的SQL注入检测规则。在“WAF”页面中， 点击“Custom rules”，然后点击“Create custom rule”来创建新鲜的规则。

五、 测试WAF的有效性

设置优良WAF后需要对其进行测试以确保其有效性。能用一些工具来模拟SQL注入打，比方说SQLMap。

1. 安装SQLMap

git clone --depth 1 https://github.com/sqlmapproject/sqlmap.git sqlmap-dev
cd sqlmap-dev
    

2. 进行测试

python sqlmap-dev/sqlmap.py -u "http:///?username=test&password=test"
    

如果WAF正常干活，SQLMap的打求得会被阻止。

六、 持续监控和更新鲜

网络打手艺不断进步，所以呢需要持续监控WAF的运行情况，并及时更新鲜WAF的规则和柔软件版本。能定期查看WAF的日志文件，琢磨打趋势，以便及时调整平安策略。一边，关注WAF的官方网站和社区，获取最新鲜的平安规则和补丁。

通过以上步骤，你能设置免费的WAF来别让SQL注入打，护着Web应用程序的平安。选择适合自己的WAF解决方案， 并按照正确的步骤进行安装和配置，一边持续监控和更新鲜，将巨大巨大搞优良Web应用程序的平安性。

---