堡塔云WAF

官网 | 使用教程 | 演示站(Demo) | ARM和国产系统兼容表 | 更新日志 | API教程

International version install

堡塔云WAF介绍

免费的私有云WAF防火墙 堡塔云WAF经过千万级用户认证、为您的业务保驾护航 采用反向代理的方式,网站流量先抵达堡塔云WAF 经过堡塔云WAF检测和过滤后，再转给原来提供服务的网站服务器。 堡塔云WAF是一个开源的Web应用程序防火墙，它可以保护网站免受SQL注入，XSS，CSRF，SSRF，命令注入，代码注入，本地文件包含，远程文件包含等攻击 兼容ARM和国产系统

性能

堡塔云WAF采用高性能的OpenResty,采用语义分析引擎过滤（90%）+正则匹配（10%）的混用模式匹配,可以有效的过滤掉恶意请求,并且不会影响网站的正常访问速度。 堡塔云WAF的性能测试结果显示，在高并发情况下，能发挥机器100%的性能、且无性能限制

语义分析模块列表

• ✅ SQL注入
• ✅ XSS跨站脚本攻击
• ✅ 文件上传
• ✅ SSRF服务器端请求伪造
• ✅ 命令执行
• ✅ 文件包含
• ✅ PHP代码注入
• ✅ PHP反序化漏洞
• ✅ Java代码注入
• ✅ Java反序化漏洞 (如CC1、CC2、CC3)
• ✅ 模板注入(如Flask、SSTI)
• ✅ XML外部实体注入(XXE)
• ✅ ASP.NET代码注入 (2025-08-21更新)

正则匹配模块列表

• ✅ 恶意爬虫(UA)
• ✅ 扫描器检测（UA+header头）
• ✅ 恶意下载（备份文件）
• ✅ Nday漏洞（如DedeCMS、PHPCMS等）
• ✅ 弱密码防护 (如123456、password等)

测试拦截的payload 拦截测试表

未来更新的模块

• [0] ASP.NET代码注入

  • ✅ ASP VBScript 代码注入 (2025-08-21更新)
  • ✅ ASP JScript 代码注入 (2025-08-21更新)
  • ✅ ASP.NET C# 代码注入 (2025-08-21更新)
  • ❌ ASP.NET VB.NET 代码注入

• [1] Java 反序列化

  • ✅ Fastjson 反序列化 (2025-08-30更新)
  • ❌ Spring 反序列化
  • ✅ Jackson 反序列化(2025-08-30更新)
  • ❌ Hibernate 反序列化
  • ✅ JNdi 反序列化(2025-08-30更新)
  • ❌ Shiro 反序列化
  • ✅ JDBC 反序列化(2025-08-30更新)
  • ❌ Expression 反序列化
  • ✅ H2 (2025-08-30更新)

• [2] Java代码注入:

  • ✅ OGNL表达式 (2025-10-28更新)
  • ✅ SpEL表达式 (2025-10-24更新)
  • ✅ JSP EL表达式
  • ❌ FreeMarker(SSTI)
  • ❌ Velocity(SSTI)

• [3] 模板注入:

  • ✅ Jinja2
  • ❌ Twig
  • ❌ Mustache
  • ❌ Handlebars
  • ❌ Smarty

• [4] Nday漏洞:

  • ❌ 常见的PHP、Java、Python等CMS漏洞
  • ❌ 常见的Web框架漏洞

• [5] CC攻击:

  • ❌ 优化CC攻击检测
  • ❌ 增加CC攻击防护规则

• [6] 机器学习模块:

  • ❌ 基于语义化的机器学习模型

在线演示(Demo)

演示地址：https://btwaf-demo.bt.cn:8379/c0edce7a

堡塔云WAF工作原理图

在线安装

使用SSH工具登录服务器，执行以下命令安装：

URL=https://download.bt.cn/cloudwaf/scripts/install_cloudwaf.sh && if [ -f /usr/bin/curl ];then curl -sSO "$URL" ;else wget -O install_cloudwaf.sh "$URL";fi;bash install_cloudwaf.sh

离线安装

注意，此安装方式适用于服务器无法连接公网节点时的选择

• 离线安装时必须手动安装 docker，否则无法安装
• 离线安装前请确保您的服务器存在 tar gzip curl netstat ss docker 命令，可以使用此命令检查是否存在：

Packs=("curl" "tar" "gzip" "netstat" "ss" "docker" ); for pack in "${Packs[@]}"; do command -v "$pack" >/dev/null 2>&1 || echo -e "\033[31mError: $pack 命令不存在\033[0m"; done

• 离线安装脚本：点击下载离线安装脚本
• 下载镜像文件：点击下载镜像文件
• 下载cloudwaf程序文件：点击下载cloudwaf程序文件

将上面的文件下载后，使用Xftp、winscp等工具上传到服务器中，将下载的文件放在相同的路径，然后执行安装命令离线安装：

bash install_cloudwaf.sh offline

安装完成后，登录步骤与在线相同

功能介绍

0.3D攻击地图

1.首页概览

2.拦截记录

3.命中记录

4.攻击地图

联系我们

1. GitHub Issue
2. WX 二维码

开源的引擎

1. PHP解析引擎 【已开源】
2. SpEL解析引擎 【已开源】
3. OGNL解析引擎 【已开源】