SamWaf是一款纯Java开发的开源Web应用防火墙（WAF），专为保护Web应用免受各类网络攻击而设计。最让人惊喜的是，它完全免费开源，却能提供堪比商业产品的防护能力。

​

它的名字"Sam"来源于开发者的ID"samwaf"，而WAF就是Web Application Firewall的缩写。简单来说，它就是一个架设在你网站前面的"保安"，负责拦截各种恶意请求，确保你的网站安全无忧。

解决了什么痛点？

说实话，中小网站和个人开发者在网络安全这块真的很尴尬：

1. 1. 商业WAF太贵，动不动就上万
2. 2. 免费的WAF功能单一，规则老旧
3. 3. 开源的WAF往往配置复杂，需要专业运维知识
4. 4. 很多WAF会影响网站性能，用户体验下降

而SamWaf一次性解决了这些问题！它不仅完全免费开源，还具备了易用性和高性能的特点。

SamWaf的与众不同之处

跟其他开源WAF相比，SamWaf有几个明显优势：

1. 1. 纯Java实现：无需安装其他依赖，兼容性极强
2. 2. 低代码接入：几行代码就能完成接入，无需复杂配置
3. 3. 自定义规则：支持自己编写防护规则，灵活性高
4. 4. 性能优先：采用多级缓存机制，性能损耗极小
5. 5. 持续更新：定期更新规则库，应对新型攻击

最让我印象深刻的是它的规则引擎设计。不同于其他WAF的硬编码规则，SamWaf采用了配置化的规则系统，可以在不重启应用的情况下动态更新防护策略，这一点真的太实用了！

防护能力有多强？

SamWaf目前能防御的攻击类型包括：

• • SQL注入攻击：拦截各类SQL注入尝试
• • XSS跨站脚本：过滤恶意JavaScript代码
• • CSRF跨站请求伪造：验证请求来源合法性
• • 文件上传漏洞：检测恶意文件上传
• • 命令注入：防止系统命令执行
• • 路径遍历：阻止访问非授权目录
• • CC攻击防护：限制异常访问频率

我自己用一些渗透测试工具试着"攻击"了部署了SamWaf的测试站点，成功率基本为零。这防护能力，我只能说，不输那些要花钱的商业WAF！

快速上手指南

接入SamWaf超级简单，我自己试了下，5分钟就能完成部署。具体步骤：

1. 添加依赖

如果你使用Maven：

<dependency>
    <groupId>io.gitee.samwaf</groupId>
    <artifactId>samwaf-core</artifactId>
    <version>1.0.0</version>
</dependency>

或者Gradle：

implementation 'io.gitee.samwaf:samwaf-core:1.0.0'

2. 配置过滤器

在Spring Boot项目中，只需添加一个配置类：

@Configuration
public class SamWafConfig {
    @Bean
    public FilterRegistrationBean<SamWafFilter> samWafFilter() {
        FilterRegistrationBean<SamWafFilter> registrationBean = new FilterRegistrationBean<>();
        registrationBean.setFilter(new SamWafFilter());
        registrationBean.addUrlPatterns("/*");
        registrationBean.setOrder(1);
        return registrationBean;
    }
}

3. 基础配置

在application.properties中添加：

# 开启WAF
samwaf.enabled=true
# 开启SQL注入防护
samwaf.sql-injection=true
# 开启XSS防护
samwaf.xss=true
# 设置日志级别
samwaf.log-level=INFO

就这么简单，你的应用就有了基本的WAF防护能力！

高级用法

当然，SamWaf还提供了更多高级功能：

自定义规则

你可以编写自己的规则文件，放在classpath下的samwaf-rules目录：

{
  "name": "自定义SQL注入规则",
  "pattern": "\\s+(or|and)\\s+[\\w\\d]+\\s*=\\s*[\\w\\d]+",
  "action": "BLOCK",
  "message": "检测到SQL注入尝试"
}

IP黑白名单

# IP白名单
samwaf.ip-whitelist=127.0.0.1,192.168.1.1
# IP黑名单
samwaf.ip-blacklist=1.2.3.4,5.6.7.8

CC攻击防护

# 开启CC攻击防护
samwaf.cc-defense=true
# 单IP每秒最大请求数
samwaf.cc-rate=10
# 超限后封禁时间(秒)
samwaf.cc-ban-time=300

性能表现

在性能方面，SamWaf也表现不俗：

• • 简单请求增加延迟：3-5ms
• • 复杂请求增加延迟：8-12ms
• • 内存占用：约10-20MB
• • CPU占用：几乎可忽略

相比某些商业WAF动辄增加50ms以上的延迟，这个性能简直让人惊喜。

适用场景

SamWaf特别适合：

• • 个人博客、小型网站
• • 中小企业内部系统
• • 缺乏安全团队的创业公司
• • 对安全有要求但预算有限的项目

虽然它可能无法替代企业级的专业安全解决方案，但对于大多数中小网站来说，已经足够应付日常的安全威胁了。

项目地址：
https://gitee.com/samwaf/SamWaf