简介

SafeL是一款开源免费的自托管Web应用防火墙（WAF），旨在为Web应用服务提供一层安全防护屏障，可有效防御各类非法恶意攻击。它提供了访问频率限制、人机验证、动态防护等核心功能，通过过滤和监控Web应用与互联网之间的HTTP流量来保护Web服务，可有效抵御各类SQL注入、XSS、代码注入、命令注入、CRLF注入、ldap注入、xpath注入、RCE、XXE、SSRF、路径遍历、后门、暴力破解、CC、爬虫等攻击，保护用户资产不受侵害。

SafeL的防护效果不仅仅只是纸上谈兵，截止目前为止，在全球装机量已经超过30万台，日均处理300亿次请求，检出率76.17%，误报率仅0.22%。

它支持容器化部署（Docker 、Docker-compose）和自有服务器部署2种方式，用户可基于需求灵活选择，作为自托管WAF，用户可对流量、日志、配置完全掌控，不依赖任何第三方SaaS，适合对数据隐私、安全性有较高要求的个人和团队，可应用于个人网站、企业网站、企业各类服务，大型Web应用等多种场景。

功能原理

SafeL可通过阻断流向Web服务的恶意HTTP流量来保护Web服务。它也可作为反向代理接入网络，通过在Web服务前部署雷池，可在Web服务和互联网之间设置一道屏障。

核心特点如下：

• 防护Web攻击

• 防爬虫,防扫描

• 前端代码动态加密

• 基于源IP的访问速率限制

• HTTP访问控制

功能列表

• Web攻击防护

• 可以防御所有的 Web 攻击，包含：SQL注入、XSS、代码注入、命令注入、路径遍历、SSRF、XXE、Backdoor、RCE、CRLF注入、LDAP／XPATH注入等常见Web攻击。

• 流量控制

• 支持基于IP、Session的访问频率限制限制用户的访问速率，避免服务遭遇CC攻击、暴力破解、流量激增 DoS/DDoS、洪水攻击等流量滥用。

• 人机验证

• 系统内置Anti-BotChallenge人机验证机制，对可疑、自动化请求（爬虫、扫描器、机器人、蠕虫病毒）发起挑战或阻断，减少恶意访问与滥用。

• 身份认证

• 系统支持身份认证，可有效避免"未授权访问"漏洞，当用户访问您的网站时，需要输入您配置的用户名和密码信息，不持有认证信息的用户将被拒之门外。

• 动态内容保护

• 提供HTML、JS内容在每次访问时动态加密、混淆，确保静态内容难以被固定攻击脚本或爬虫重用，提高安全性。

• ACL

• 支持根据请求来源、Host、Header、Path、请求内容等进行白名单、黑名单控制，可自定义访问规则与阻断策略。

• 安全监控

• 系统提供拦截日志、请求日志、攻击统计、监控界面与报表，可用于安全分析、审计与合规。

功能截图

首页

统计报表

安全态势

防护报告

防护大屏

防护应用列表

攻击防护

黑白名单

CC防护

防护配置

身份认证

通用设置

防护效果对比

指标说明：

• 准确率（Accuracy） =（正确拦截 + 正确放行）/总样本数量，用于衡量WAF的整体可靠性，越高越好。

• 检出率（Detection Rate） = 正确拦截/攻击样本数量，用于评估WAF的攻击识别能力，越高越好。

• 漏报率（Miss Rate） = 错误放行/攻击样本数量，用于衡量WAF放行攻击流量的情况，越低越好。

• 误报率（False Positive Rate） = 错误拦截/正常样本数量，用于评估WAF对正常流量的误判情况，越低越好。

阅读原文：https://mp.weixin.qq.com/s/VuvtojTb747YJGotkFZ7Lw

资源合集地址

1、地址：https://docs.qq.com/sheet/DZXZSTkRoZVZvT1ZY?tab=87twt6

2、备用地址：https://bidvl5risj.feishu.cn/docx/SQuHdsDVsoAKgyxsDkYcH4lxnab​