网络攻击逐渐增加，越来越多的企业面临着网络安全的威胁，云waf即web应用防火墙成为了网站安全防护的重要产品。从整体来看，云waf以阿里云、华为云、腾讯云为主要带头企业，但是这些企业普遍价格较高，在十几万上下，对于中小企业是一笔不小的支出，但是也有一些企业推出了价廉物美的云waf产品，对于防护中小企业网站安全也是够用的，那今天就说一下我之前测试过比较好用的性价比高的云waf产品。

1、GOODWAF：这款waf号称传统waf+主动防护+态势感知+数据风控技术，所谓传统waf就是防sql、xss跨站攻击、cc防护、webshell上传防护、篡改防护、盗链防护等功能。主动防护是源代码加密、js代码混淆、关键的字符变形等功能。态势感知就是3d大屏技术，能够监控攻击状态、攻击ip等信息。

2、cloudflare：这是美国一家企业研究的云waf产品，Cloudflare以向客户提供网站安全管理、性能优化及相关的技术支持为主要业务。通过基于反向代理的内容分发网络，基于nginx+lua架构的Web应用防火 及分布式域名解析服务等技术，Cloudflare还具备ddos防护，cc防护等功能，也具备dns功能。

3、hihttps：一款高性能WEB应用 + MQTT物联网防火墙，之所以提及这款waf，是因为它也算是开源免费waf，有趣的是还具备物联网防火墙功能，这是比较有趣的地方。ModSecurity规则并开源。特点是使用超级简单，就一个约10M的可执行文件，但防护功能一应俱全，包括：漏洞扫描、CC &DDOS、暴力破解、SQL注入、XSS攻击等，有趣的是这款waf可以作为物联网防护使用。

4、达尔文云WAF：核心功能：HTTPS防护：全站一键实现HTTPS防护；Web常见攻击防护：通用Web攻击防护、0day漏洞虚拟补丁、网站隐身；缓解CC攻击：过滤恶意Bot流量，保障服务器性能正常；业务风控防护：解决恶意注册、刷库撞库、活动作弊、论坛灌水等严重业务风险；精准访问控制：支持HTTP常见字段的条件组合，支持盗链防护、网站后台保护等防护场景；日志分析：全量访问日志智能检索，日志实时查询分析服务。

技术优势：机器学习：对网站的正常请求进行学习，建立合法请求访问模型；针对已经建立的攻击模型，自动屏蔽类似的异常访问流量；自动防护：双引擎协同工作机制，通过无规则和轻规则的更新和调优，即可阻拦扫描，隐藏网页目录结构，阻拦零日漏洞探测行为，快速识别出自动化工具行为并进行拦截；攻击阈值大：最高可支持每秒百万攻击请求防御、抵御高级别的业务逻辑攻击，适配业务系统各类特征，安全防御更加纵深、贴合，解决普通防火墙痛点。