企业级 Web 安全防护 开箱即用
高性能轻量级 Web 应用防火墙,整机 60,000 QPS,单核 5,000 QPS,毫秒级延迟,内存占用 <300MB
FOXWAF(又名 狐狸 WAF / FOX WAF)是一款使用 Go 语言开发的开源 Web 应用防火墙(WAF),内置 Go 实现的反向代理与负载均衡,可作为 Nginx + ModSecurity 的轻量替代方案。它通过 Aho-Corasick 自动机匹配 OWASP Top 10 规则集,拦截 SQL 注入、XSS、RCE、文件包含、SSRF 等常见攻击;同时提供 CC/DDoS 防护、国密 SM2/SM3/SM4、HTTP/3 (QUIC) 与配置/规则/证书的全热更新能力。
核心功能
12 项企业级安全防护能力
WAF 规则引擎
覆盖 SQL 注入、XSS、RCE、文件包含、SSRF 等 OWASP Top 10 攻击向量
AC 自动机匹配
Aho-Corasick 多模式匹配算法,5 个位置专用 Trie 树,毫秒级全规则扫描
CC / DDoS 防护
256 分片计数器无锁设计,滑动窗口检测 + JS Challenge 人机验证
反爬虫 & Bot 检测
智能识别恶意爬虫和自动化工具,User-Agent 黑名单 + 行为分析 + DevTools 反调试
纯 Go 反向代理
未沿用 Nginx,全新 Go 实现,轮询 / 加权负载均衡,WebSocket 透传
一切皆可热更新
配置、规则、证书全部支持热更新,无需重启服务,业务零中断
SSL / TLS 管理
动态 SNI 证书加载,多域名独立证书管理,HTTPS 自动重定向
插件系统
基于 Go Plugin 架构的扩展机制,支持自定义安全逻辑、请求改写、审计日志
可视化管理面板
内置 Web UI,实时攻击日志、流量统计、规则管理、站点配置一站式操作
Docker 部署
官方 Docker 镜像,docker-compose 一键启动,适配云原生环境
单容器部署
轻量级容器镜像,一键部署运行,无外部依赖,开箱即用
多站点管理
单实例多站点配置,独立规则与策略,统一管理入口
性能数据
真实测试环境下的表现
检测率 & 误报率
wrk 压测数据
安全架构
8 层请求处理流水线
快速路径检查
路由健康检查、静态资源快速放行
站点匹配
路由根据 Host 头匹配目标站点配置
IP ACL 检查
安全IP/CIDR 黑白名单 + GeoIP 控制
CC 防护
安全滑动窗口速率限制 + JS Challenge
User-Agent 检查
安全UA 黑名单匹配,拦截恶意客户端
请求归一化
安全URL 解码、Unicode 归一化,防止编码绕过
WAF 规则匹配
核心AC 自动机全规则扫描 + 正则精确匹配
反向代理转发
代理负载均衡转发至上游 + 可选静态缓存
FOXWAF 与传统方案对比
帮你一眼看清 FOXWAF 与 Nginx + ModSecurity、OpenResty 在架构、性能、规则引擎、热更新、国密支持等关键维度的差异。
| 对比维度 | FOXWAF | Nginx + ModSecurity | OpenResty + lua-resty-waf |
|---|---|---|---|
| 部署架构 | 单 Go 二进制,反代 + WAF 同进程 | Nginx + ModSecurity 动态模块 + Apache 风格配置 | Nginx + LuaJIT 运行时 + Lua 模块栈 |
| 性能 (单核 QPS) | ~5,000 QPS | ~1,200 QPS (规则全开) | ~3,000 QPS |
| 内存占用 | < 300 MB | ~ 200 MB | ~ 350 MB |
| 规则引擎 | AC 自动机一次扫描,多模式同时匹配 | 每条规则逐条 PCRE 正则 | Lua 驱动,按规则正则 + token 缓存 |
| 配置方式 | Web 控制台 + REST API,保存即生效 | nginx.conf + 增量 conf,需 reload | nginx.conf + Lua 脚本,需 reload |
| 热更新 | 规则 / 证书 / 配置全 RCU 热更新,零中断 | nginx -s reload(平滑但断连接) | Lua 可热更,Nginx 配置仍需 reload |
| HTTP/3 (QUIC) | 原生支持,控制台一键开关 | 实验性,需自行编译 | 实验性,需自行编译 |
| 国密 SM2/3/4 | 内置,与 RSA/ECDSA 双证共存 | 需 Tongsuo / BabaSSL 重编 | 需 Tongsuo / BabaSSL 重编 |
| OWASP Top 10 规则集 | 内置,一键启用 | 官方 OWASP CRS 支持 | 社区移植版 CRS |
| 学习曲线 | 控制台驱动,5 分钟上首站 | 陡峭,Apache 风格 SecRule DSL | 陡峭,Lua + Nginx 内部机制 |
| 开源策略 | CLI / 文档 / 规则集开源;引擎商业 | Apache 2.0(引擎 + Nginx connector) | BSD 风格(LuaJIT + ngx_lua) |
| 最适合谁 | 想要 WAF + 反代 + 控制台一体、且需国密合规的团队 | 已深度使用 Nginx、有强 DevOps 的团队 | 熟悉 Lua、需要重度自研规则的团队 |
性能数据基于 wrk -c200 -t8 在同一 4 核测试机上、加载 OWASP CRS Level 2 规则的实测;详细报告见上方「架构」章节。
定价方案
选择适合您的版本
个人版
- WAF 规则引擎
- 反向代理 & 负载均衡
- SSL/TLS 证书管理
- 可视化管理面板
- WebSocket 支持
- Docker 部署
Pro 版
- 个人版全部功能
- CC / DDoS 防护
- 站点高级功能
- 插件系统
- 自定义规则
- 国密 SM2 / SM3 / SM4
- HTTP/3 (QUIC)
一行命令,即刻部署
███████╗ ██████╗ ██╗ ██╗██╗ ██╗ █████╗ ███████╗ ██╔════╝██╔═══██╗╚██╗██╔╝██║ ██║██╔══██╗██╔════╝ █████╗ ██║ ██║ ╚███╔╝ ██║ █╗ ██║███████║█████╗ ██╔══╝ ██║ ██║ ██╔██╗ ██║███╗██║██╔══██║██╔══╝ ██║ ╚██████╔╝██╔╝ ██╗╚███╔███╔╝██║ ██║██║ ╚═╝ ╚═════╝ ╚═╝ ╚═╝ ╚══╝╚══╝ ╚═╝ ╚═╝╚═╝
版本发布
持续迭代,不断进化
常见问题
每周都有人问的高频问题,一次答清楚
FOXWAF 是什么?
FOXWAF 是一款使用 Go 语言开发的开源 Web 应用防火墙(WAF),内置 Go 实现的反向代理与负载均衡,可作为 Nginx + ModSecurity 的轻量替代方案。它通过 Aho-Corasick 自动机匹配 OWASP Top 10 规则集,拦截 SQL 注入、XSS、RCE、文件包含、SSRF 等常见攻击;同时提供 CC/DDoS 防护、国密 SM2/SM3/SM4、HTTP/3 (QUIC) 与配置/规则/证书的全热更新能力。
FOXWAF 与 Nginx + ModSecurity 有什么区别?
FOXWAF 是单一进程方案,反向代理与 WAF 引擎合并在一个 Go 程序中,无需 Nginx + ModSecurity 双层架构;规则匹配使用 Aho-Corasick 自动机而非 ModSecurity 的逐条正则匹配,性能数倍领先;配置 / 规则 / 证书全部通过 Web 控制台或 API 热更新,无需 reload Nginx;同时原生支持 HTTP/3 (QUIC) 与国密 SM2/SM3/SM4,无需额外编译第三方模块。
FOXWAF 个人版和 Pro 版有什么区别?
个人版完全免费,包含 WAF 规则引擎、反向代理、SSL 管理与 Docker 部署,适合个人开发者与小型项目。Pro 版增加 CC / DDoS 防护、站点高级功能、插件系统、自定义规则、国密 SM 与 HTTP/3 (QUIC),适合企业级生产环境。
FOXWAF 支持 Docker 部署吗?
是的。FOXWAF 官方推荐使用一键脚本通过 Docker Compose 部署,5 分钟内即可完成。需要 Linux amd64 / arm64 系统、Docker >= 20.10。
如何启用国密 SM2/SM3/SM4?
Pro 版在「站点」配置中上传 SM2 证书与对应私钥即可,FOXWAF 会自动协商 SM-TLS 并对支持国密的客户端启用 SM3 摘要与 SM4 对称加密;个人版仅支持 ECDSA / RSA。证书可与传统 RSA / ECDSA 证书在同一站点共存,按客户端能力自动选择。
FOXWAF 支持 HTTP/3 / QUIC 吗?
Pro 版原生支持 HTTP/3 over QUIC。在「站点」配置勾选 HTTP/3 后,FOXWAF 会自动在同端口同时监听 UDP,向客户端发送 Alt-Svc 响应头进行协议升级。建议主机内核 >= 5.4 以获得最佳 UDP socket 性能。
FOXWAF 可以反向代理 WebSocket 和 gRPC 吗?
可以。FOXWAF 内置反向代理对 HTTP/1.1 升级到 WebSocket 透传、HTTP/2 与 gRPC 双向流均原生支持。配置上无需特别声明,识别到 Upgrade: websocket 头或 Content-Type: application/grpc 时自动按流式协议转发,不会缓冲整个请求体。
规则集与证书需要重启服务才能生效吗?
不需要。FOXWAF 所有配置(站点、上游、证书、规则集、镜像源、CC/Bot 阈值)在控制台或 API 保存时即时生效,底层使用 RCU 风格双 buffer 切换:新请求走新配置,进行中的请求继续按旧配置完成,业务零中断。规则 Trie 重建采用原子指针切换,证书与 SNI 路由表为只读 map 整体替换。
如何把 FOXWAF 升级到新版本?
执行 foxwaf update 即可。CLI 会按配置的镜像源(GitHub / GitCode / 官方直链)优先级依次尝试拉取最新版本,下载后做 MD5 校验、平滑替换镜像并重启 Docker 容器。也可在控制台「版本管理」页面手动选择目标版本升级或回滚,升级前自动备份当前配置与数据库到 backup/ 目录。
FOXWAF 是否开源?
FOXWAF 在 GitHub 与 GitCode 同步发布发行版本。核心防护引擎与规则集闭源,CLI 工具和文档开源。Pro 功能通过 RSA 签名授权激活。