Was ist eine WAF? | Beschreibung einer Web Application Firewall

Eine WAF schafft einen Schutzschild zwischen einer Web-App und dem Internet; dieser Schutzschild kann dazu beitragen, viele häufige Angriffe abzuwehren.

Share facebook icon linkedin icon twitter icon email icon

WAF

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Definition der Web Application Firewall
  • Den Unterschied zwischen Blacklist- und Whitelist-WAFs erläutern
  • Die Vor- und Nachteile von netzwerkbasierten, hostbasierten und Cloud-basierten WAFs verstehen

Was ist eine Web Application Firewall (WAF)?

Eine WAF (Web Application Firewall) schützt Webanwendungen durch Filtern und Überwachen des HTTP-Traffics zwischen einer Webanwendung und dem Internet. Typischerweise wehrt sie Angriffe auf Webanwendungen in Form von Cross-Site-Forgery, Cross-Site-Scripting (XSS), File Inclusion und SQL-Injection ab. Eine WAF ist eine Verteidigungsmaßnahme auf Protokollebene (Layer 7 im OSI-Modell) und nicht zur Abwehr aller Angriffsarten ausgelegt. Diese Vorgehensweise gegen Angriffe ist normalerweise Bestandteil einer ganzen Reihe von Tools, die erst zusammen eine ganzheitliche Abwehr gegen vielerlei Angriffsvektoren bilden.


Durch den Einsatz einer WAF vor einer Webanwendung wird ein Schutzschild zwischen der Webanwendung und dem Internet gebildet. Während ein Proxyserver die Identität eines Clientrechners mithilfe eines Vermittlers schützt, ist eine WAF eine Art Reverse-Proxy, der den Server vor Exposition schützt, weil die Clients die WAF passieren müssen, bevor sie den Server erreichen.


Eine WAF funktioniert nach einer Reihe von Regeln, die oft als Richtlinien bezeichnet werden. Diese Richtlinien zielen darauf ab, vor Schwachstellen in der Anwendung zu schützen, indem sie böswilligen Traffic herausfiltern. Der Wert einer WAF ergibt sich zum Teil aus der Geschwindigkeit und Leichtigkeit, mit der Richtlinienänderungen implementiert werden können, was eine schnellere Reaktion auf unterschiedliche Angriffsvektoren ermöglicht; während eines DDoS-Angriffs kann Rate Limiting durch Änderung der WAF-Richtlinien schnell umgesetzt werden.

DDOS How A WAF Works

Worin unterscheiden sich Blacklist- und Whitelist-WAFs?

Eine WAF auf der Grundlage einer schwarzen Liste schützt vor bekannten Angriffen (negatives Sicherheitsmodell). Sie können sich eine Blacklist-WAF wie den Türsteher vor einem Club vorstellen, der Gäste abweisen muss, die den Dresscode nicht einhalten. Eine Whitelist-WAF (positives Sicherheitsmodell) hingegen lässt nur Traffic zu, der vorab genehmigt wurde. Das wäre mit dem Türsteher bei einer exklusiven Party vergleichbar, der nur Gäste durchlässt, die auf seiner Liste stehen. Beide Modelle haben ihre Vor- und Nachteile. Deshalb bieten viele WAFs ein hybrides Sicherheitsmodell an, bei dem sowohl eine schwarze als auch eine weiße Liste implementiert werden.

Was sind Netzwerk-basierte, Host-basierte und Cloud-basierte WAFs?

Eine WAF kann auf drei verschiedene Arten implementiert werden, jede mit ihren eigenen Vorteilen und Schwächen:

  • Eine Netzwerk-basierte WAF ist in der Regel hardwarebasiert. Da sie lokal installiert wird, minimiert sie die Latenzzeiten. Netzwerk-basierte WAFs sind jedoch die teuerste Option und erfordern auch die Aufstellung und Wartung physischer Geräte.
  • Eine hostbasierte WAF kann komplett in die Software einer Anwendung integriert sein. Diese Lösung ist kostengünstiger und leichter anzupassen als eine netzwerkbasierte WAF. Eine hostbasierte WAF verbraucht allerdings lokale Serverressourcen, ist kompliziert zu implementieren und aufwendig in der Wartung. Hierfür müssen normalerweise Entwicklungszeit und Geld investiert werden.
  • Cloud-basierte WAFs sind eine kostengünstige Alternative und sehr einfach zu implementieren. Die Installation ist meist mit wenigen Handgriffen erledigt, zum Beispiel mit einer DNS-Änderung, durch die der Traffic umgeleitet wird. Auch die Vorlaufkosten cloudbasierter WAFs sind minimal, denn der Anwender zahlt normalerweise monatlich oder jährlich für Security as a Service. Cloudbasierte WAFs können außerdem zur Abwehr der neuesten Bedrohungen ständig aktualisiert werden, ohne zusätzlichen Aufwand oder Kosten für den Anwender. Cloudbasierte WAFs haben nur den Nachteil, dass der Anwender die Verantwortung aus der Hand geben muss. Einige Funktionen der WAF können eine Black Box für ihn sein. Informieren Sie sich über die cloudbasierte WAF-Lösung von Cloudflare.