Was ist eine WAF? | Beschreibung einer Web Application Firewall

A WAF is a protocol layer 7 defense (in the OSI model), and is not designed to defend against all types of attacks. This method of attack mitigation is usually part of a suite of tools which together create a holistic defense against a range of attack vectors.

Durch den Einsatz einer WAF vor einer Webanwendung wird ein Schutzschild zwischen der Webanwendung und dem Internet gebildet. Während ein Proxyserver die Identität eines Clientrechners mithilfe eines Vermittlers schützt, ist eine WAF eine Art Reverse-Proxy, der den Server vor Exposition schützt, weil die Clients die WAF passieren müssen, bevor sie den Server erreichen.

Eine WAF funktioniert nach einer Reihe von Regeln, die oft als Richtlinien bezeichnet werden. Diese Richtlinien zielen darauf ab, vor Schwachstellen in der Anwendung zu schützen, indem sie böswilligen Traffic herausfiltern. Der Wert einer WAF ergibt sich zum Teil aus der Geschwindigkeit und Leichtigkeit, mit der Richtlinienänderungen implementiert werden können, was eine schnellere Reaktion auf unterschiedliche Angriffsvektoren ermöglicht; während eines DDoS-Angriffs kann Durchsatzbegrenzung durch Änderung der WAF-Richtlinien schnell umgesetzt werden.

Worin unterscheiden sich Blockierlisten- und Positivlisten-WAFs?

Eine WAF auf der Grundlage einer Blockierliste schützt vor bekannten Angriffen (negatives Sicherheitsmodell). Sie können sich eine Blockierlisten-WAF wie den Türsteher vor einem Club vorstellen, der Gäste abweisen muss, die den Dresscode nicht einhalten. Eine Positivlisten-WAF (positives Sicherheitsmodell) hingegen lässt nur Traffic zu, der vorab genehmigt wurde. Das wäre mit dem Türsteher bei einer exklusiven Party vergleichbar, der nur Gäste durchlässt, die auf seiner Liste stehen. Beide Modelle haben ihre Vor- und Nachteile. Deshalb bieten viele WAFs ein hybrides Sicherheitsmodell an, bei dem sowohl eine Blockierliste als auch eine Positivliste implementiert werden.

Was sind Netzwerk-basierte, Host-basierte und Cloud-basierte WAFs?

Eine WAF kann auf drei verschiedene Arten implementiert werden, jede mit ihren eigenen Vorteilen und Schwächen:

• Eine Netzwerk-basierte WAF ist in der Regel hardwarebasiert. Da sie lokal installiert wird, minimiert sie die Latenzzeiten. Netzwerk-basierte WAFs sind jedoch die teuerste Option und erfordern auch die Aufstellung und Wartung physischer Geräte.
• Eine hostbasierte WAF kann komplett in die Software einer Anwendung integriert sein. Diese Lösung ist kostengünstiger und leichter anzupassen als eine netzwerkbasierte WAF. Eine hostbasierte WAF verbraucht allerdings lokale Serverressourcen, ist kompliziert zu implementieren und aufwendig in der Wartung. Hierfür müssen normalerweise Entwicklungszeit und Geld investiert werden.
• Cloud-basierte WAFs sind eine kostengünstige Alternative und sehr einfach zu implementieren. Die Installation ist meist mit wenigen Handgriffen erledigt, zum Beispiel mit einer DNS-Änderung, durch die der Traffic umgeleitet wird. Auch die Vorlaufkosten cloudbasierter WAFs sind minimal, denn der Anwender zahlt normalerweise monatlich oder jährlich für Security as a Service. Cloudbasierte WAFs können außerdem zur Abwehr der neuesten Bedrohungen ständig aktualisiert werden, ohne zusätzlichen Aufwand oder Kosten für den Anwender. Cloudbasierte WAFs haben nur den Nachteil, dass der Anwender die Verantwortung aus der Hand geben muss. Einige Funktionen der WAF können eine Black Box für ihn sein. (Eine cloudbasierte WAF ist eine Art von Cloud-Firewall; erfahren Sie mehr über Cloud-Firewalls).

Informieren Sie sich über die cloudbasierte WAF-Lösung von Cloudflare.