SamWaf 开源轻量级的网站应用防火墙,这是一套完全开源的网站防火墙源码,专为小公司、工作室和个人网站打造。SamWaf 采用轻量化架构设计,不依赖任何第三方商业服务或复杂运行环境,用户下载源码后即可实现完全私有化部署。所有数据均在本地服务器加密保存,不经过任何云端中转,确保网站访问日志、攻击记录、防护策略等核心信息的绝对私密性。源码包内包含完整程序文件、配置文件及跨平台编译脚本,开发者可自由查看底层防护引擎实现逻辑,并基于自身业务需求进行二次开发与功能定制。
开源授权与私有化部署优势
代码完全开源,支持私有化部署。SamWaf 从底层引擎到管理界面全部以开源形式发布,用户无需支付任何授权费用,也无需绑定官方域名或定期联网验证。私有化部署意味着整套系统与互联网公网完全隔离,防护策略配置、黑名单管理、频率限制规则均在本地服务器完成,不受上游服务商稳定性影响。对于注重数据主权与运营成本控制的小型团队或个人站长而言,这种模式兼具灵活性与可控性。
轻量化架构与零三方依赖
轻量化不依赖三方服务,完全独立引擎,防护功能不依赖 IIS、Nginx。SamWaf 内置自主研发的流量过滤引擎,可作为独立反向代理运行,也可透明嵌入已有 Web 架构。由于不依赖 Apache、Nginx、IIS 等主流 Web 服务器,用户无需修改现有网站配置即可快速接入防护层。引擎编译后二进制文件体积仅数 MB,运行时内存占用控制在 50MB 以内,尤其适合配置较低的云服务器或树莓派等边缘设备。
多平台一键启动支持
一键启动,支持 Linux、Windows 64位、Arm64。源码包提供主流操作系统与架构的预编译二进制文件,用户下载对应版本后双击(Windows)或执行单条命令(Linux/Arm64)即可启动防火墙服务。管理面板集成于二进制内部,启动后自动监听本地端口,管理员通过浏览器访问配置界面完成所有设置。跨平台特性使 SamWaf 既能部署在 x86 服务器,也能运行于国产化 Arm 架构设备或嵌入式系统中。
自定义防护规则与双模式编辑
自定义防护规则,支持脚本和界面编辑。系统内置规则引擎,管理员可通过可视化后台逐条添加请求头过滤、POST 参数校验、User-Agent 拦截等规则,也支持上传 Lua 脚本实现复杂业务逻辑的动态防御。规则库采用热加载机制,修改后即时生效,无需重启服务。规则匹配日志实时输出至独立文件,便于审计与调试。
全面的黑白名单与访问控制
支持白名单访问,支持 IP 黑名单,支持 URL 白名单,支持限制 URL 访问。白名单功能可将公司内部 IP、CDN 回源 IP 标记为信任来源,彻底绕过所有检测。IP 黑名单支持单 IP、IP 段、国家地区维度封禁。URL 白名单用于放行特定路径如 /sitemap.xml、/robots.txt,避免误拦截。限制 URL 访问功能可针对后台目录、安装脚本、备份文件等敏感路径设置密码访问或完全禁止。
数据隐私输出与 CC 攻击防护
支持指定界面数据隐私输出,支持 CC 频率访问。隐私输出功能可对响应内容中的手机号、身份证、邮箱等敏感信息进行正则匹配并自动脱敏,防止开发测试环境泄露真实数据。CC 防护模块基于滑动窗口计数器算法,管理员可设置单 IP 每秒请求阈值、单会话总请求阈值及封禁时长,有效抵御应用层慢速攻击与突发流量。
全局配置与分站独立策略
支持全局一键配置,支持分网站单独防护策略。管理员可在总控面板快速应用推荐防护模板,包含常见扫描器特征、恶意爬虫指纹、SQL 注入 payload 库。对于同一服务器运行多个网站的情况,SamWaf 允许为每个域名绑定独立策略组,不同站点可启用不同的黑白名单、CC 阈值及自定义规则,互不干扰。
日志加密与信息脱敏存储
日志加密保存,通讯日志加密,信息脱敏保存。所有访问日志与攻击告警在写入磁盘前均使用 AES-256 算法加密,密钥由用户在初始化时设定,与程序文件分离存储。引擎与代理节点之间的通讯日志采用 TLS 加密传输。日志中的用户 IP、请求参数等敏感字段自动脱敏,即使日志文件被非法获取也无法还原原始信息。
评论(0)