Um WAF (Web Application Firewall) é um appliance, plugin de servidor ou software que aplica um conjunto de regras para uma conversação HTTP. Funciona como uma precaução para ataques comuns como XSS, CSRF e SQL injection.

O projeto OWASP sugere um extenso critério para um WAF, entre os requerimentos estão:

• Proteção contra o Top 10 do OWASP;
• Pouquissimos falso-positivos (por exemplo, não deve nunca descartar um requisição autorizada;
• Fortalecimento das defesas padrões;
• Tipos de vulnerabilidades que possa prevenir;
• Interface com o usuário simplificada e intuitiva;
• Suporte a modo cluster;
• Alta performance (latencia de milisegundos);
• Total capacidade de alertas, forense e relatórios;
• Suporte a serviços web XML;
• Proteção contra força-bruta;
• Entre outros.

Seguem abaixo alguns WAFs que são open source e atendem a esses requisitos. Clique em cada link para mais informações ou download.

• Naxsi
• Vulture WebSSO
• Guardian @ JUMPERZ.NET
• IronBee
• WebCastellum
• ModSecurity
• OWASP ESAPI WAF
• OpenWAF
• AQTRONIX WebKnight

Maiores informações estão disponíveis na página Web Application Firewall do OWASP.

Via: List of Open Source Web Application Firewalls