Was ist eine WAF? | Beschreibung einer Web Application Firewall

Eine WAF schafft einen Schutzschild zwischen einer Web-App und dem Internet; dieser Schutzschild kann dazu beitragen, viele häufige Angriffe abzuwehren.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Definition der Web Application Firewall
  • Den Unterschied zwischen Blockierlisten- und Positivlisten-WAFs erklären
  • Die Vor- und Nachteile von netzwerkbasierten, hostbasierten und Cloud-basierten WAFs verstehen

Link zum Artikel kopieren

Was ist eine Web Application Firewall (WAF)?

A WAF or Web Application Firewall helps protect web applications by filtering and monitoring HTTP traffic between a web application and the Internet. It typically protects web applications from attacks such as cross-site forgery, cross-site-scripting (XSS), file inclusion, and SQL injection, among others. A WAF is a protocol layer 7 defense (in the OSI model), and is not designed to defend against all types of attacks. This method of attack mitigation is usually part of a suite of tools which together create a holistic defense against a range of attack vectors.

Durch den Einsatz einer WAF vor einer Webanwendung wird ein Schutzschild zwischen der Webanwendung und dem Internet gebildet. Während ein Proxyserver die Identität eines Clientrechners mithilfe eines Vermittlers schützt, ist eine WAF eine Art Reverse-Proxy, der den Server vor Exposition schützt, weil die Clients die WAF passieren müssen, bevor sie den Server erreichen.

A WAF operates through a set of rules often called policies. These policies aim to protect against vulnerabilities in the application by filtering out malicious traffic. The value of a WAF comes in part from the speed and ease with which policy modification can be implemented, allowing for faster response to varying attack vectors; during a DDoS attack, rate limiting can be quickly implemented by modifying WAF policies.

DDOS Wie eine WAF funktioniert

Worin unterscheiden sich Blockierlisten- und Positivlisten-WAFs?

Eine WAF auf der Grundlage einer Blockierliste schützt vor bekannten Angriffen (negatives Sicherheitsmodell). Sie können sich eine Blockierlisten-WAF wie den Türsteher vor einem Club vorstellen, der Gäste abweisen muss, die den Dresscode nicht einhalten. Eine Positivlisten-WAF (positives Sicherheitsmodell) hingegen lässt nur Traffic zu, der vorab genehmigt wurde. Das wäre mit dem Türsteher bei einer exklusiven Party vergleichbar, der nur Gäste durchlässt, die auf seiner Liste stehen. Beide Modelle haben ihre Vor- und Nachteile. Deshalb bieten viele WAFs ein hybrides Sicherheitsmodell an, bei dem sowohl eine Blockierliste als auch eine Positivliste implementiert werden.

Was sind Netzwerk-basierte, Host-basierte und Cloud-basierte WAFs?

Eine WAF kann auf drei verschiedene Arten implementiert werden, jede mit ihren eigenen Vorteilen und Schwächen:

  • Eine Netzwerk-basierte WAF ist in der Regel hardwarebasiert. Da sie lokal installiert wird, minimiert sie die Latenzzeiten. Netzwerk-basierte WAFs sind jedoch die teuerste Option und erfordern auch die Aufstellung und Wartung physischer Geräte.
  • Eine hostbasierte WAF kann komplett in die Software einer Anwendung integriert sein. Diese Lösung ist kostengünstiger und leichter anzupassen als eine netzwerkbasierte WAF. Eine hostbasierte WAF verbraucht allerdings lokale Serverressourcen, ist kompliziert zu implementieren und aufwendig in der Wartung. Hierfür müssen normalerweise Entwicklungszeit und Geld investiert werden.
  • Cloud-based WAFs offer an affordable option that is very easy to implement; they usually offer a turnkey installation that is as simple as a change in DNS to redirect traffic. Cloud-based WAFs also have a minimal upfront cost, as users pay monthly or annually for security as a service. Cloud-based WAFs can also offer a solution that is consistently updated to protect against the newest threats without any additional work or cost on the user’s end. The drawback of a cloud-based WAF is that users hand over the responsibility to a third-party, therefore some features of the WAF may be a black box to them. Learn about Cloudflare's cloud-based WAF solution.