Was ist eine WAF? | Beschreibung einer Web Application Firewall

Eine WAF schafft einen Schutzschild zwischen einer Web-App und dem Internet; dieser Schutzschild kann dazu beitragen, viele häufige Angriffe abzuwehren.

Share facebook icon linkedin icon twitter icon email icon

WAF

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Definition der Web Application Firewall
  • Den Unterschied zwischen Blockierlisten- und Positivlisten-WAFs erklären
  • Die Vor- und Nachteile von netzwerkbasierten, hostbasierten und Cloud-basierten WAFs verstehen

Was ist eine Web Application Firewall (WAF)?

Eine WAF oder Web Application Firewall hilft beim Schutz von Webanwendungen, indem sie den HTTP-Traffic zwischen einer Webanwendung und dem Internet filtert und überwacht. Gewöhnlich schützt sie Webanwendungen vor Angriffen wie u. a. Cross-Site Forgery, Cross-Site Scripting (XSS), File Inclusion und SQL-Injection. Eine WAF ist eine Verteidigungsmaßnahme auf Protokollebene (Layer 7 im OSI-Modell) und nicht zur Abwehr aller Angriffsarten ausgelegt. Diese Methode der Angriffsabwehr ist in der Regel Teil einer Reihe von Tools, die zusammen eine ganzheitliche Abwehr gegen eine Reihe von Angriffsvektoren bilden.


Durch den Einsatz einer WAF vor einer Webanwendung wird ein Schutzschild zwischen der Webanwendung und dem Internet gebildet. Während ein Proxyserver die Identität eines Clientrechners mithilfe eines Vermittlers schützt, ist eine WAF eine Art Reverse-Proxy, der den Server vor Exposition schützt, weil die Clients die WAF passieren müssen, bevor sie den Server erreichen.


Eine WAF funktioniert nach einer Reihe von Regeln, die oft als Richtlinien bezeichnet werden. Diese Richtlinien zielen darauf ab, vor Schwachstellen in der Anwendung zu schützen, indem sie böswilligen Traffic herausfiltern. Der Wert einer WAF ergibt sich zum Teil aus der Geschwindigkeit und Leichtigkeit, mit der Richtlinienänderungen implementiert werden können, was eine schnellere Reaktion auf unterschiedliche Angriffsvektoren ermöglicht; während eines DDoS-Angriffs kann Rate Limiting durch Änderung der WAF-Richtlinien schnell umgesetzt werden.

DDOS Wie eine WAF funktioniert

Worin unterscheiden sich Blockierlisten- und Positivlisten-WAFs?

Eine WAF auf der Grundlage einer Blockierliste schützt vor bekannten Angriffen (negatives Sicherheitsmodell). Sie können sich eine Blockierlisten-WAF wie den Türsteher vor einem Club vorstellen, der Gäste abweisen muss, die den Dresscode nicht einhalten. Eine Positivlisten-WAF (positives Sicherheitsmodell) hingegen lässt nur Traffic zu, der vorab genehmigt wurde. Das wäre mit dem Türsteher bei einer exklusiven Party vergleichbar, der nur Gäste durchlässt, die auf seiner Liste stehen. Beide Modelle haben ihre Vor- und Nachteile. Deshalb bieten viele WAFs ein hybrides Sicherheitsmodell an, bei dem sowohl eine Blockierliste als auch eine Positivliste implementiert werden.

Was sind Netzwerk-basierte, Host-basierte und Cloud-basierte WAFs?

Eine WAF kann auf drei verschiedene Arten implementiert werden, jede mit ihren eigenen Vorteilen und Schwächen:

  • Eine Netzwerk-basierte WAF ist in der Regel hardwarebasiert. Da sie lokal installiert wird, minimiert sie die Latenzzeiten. Netzwerk-basierte WAFs sind jedoch die teuerste Option und erfordern auch die Aufstellung und Wartung physischer Geräte.
  • Eine hostbasierte WAF kann komplett in die Software einer Anwendung integriert sein. Diese Lösung ist kostengünstiger und leichter anzupassen als eine netzwerkbasierte WAF. Eine hostbasierte WAF verbraucht allerdings lokale Serverressourcen, ist kompliziert zu implementieren und aufwendig in der Wartung. Hierfür müssen normalerweise Entwicklungszeit und Geld investiert werden.
  • Cloud-basierte WAFs sind eine kostengünstige Alternative und sehr einfach zu implementieren. Die Installation ist meist mit wenigen Handgriffen erledigt, zum Beispiel mit einer DNS-Änderung, durch die der Traffic umgeleitet wird. Auch die Vorlaufkosten cloudbasierter WAFs sind minimal, denn der Anwender zahlt normalerweise monatlich oder jährlich für Security as a Service. Cloudbasierte WAFs können außerdem zur Abwehr der neuesten Bedrohungen ständig aktualisiert werden, ohne zusätzlichen Aufwand oder Kosten für den Anwender. Cloudbasierte WAFs haben nur den Nachteil, dass der Anwender die Verantwortung aus der Hand geben muss. Einige Funktionen der WAF können eine Black Box für ihn sein. Informieren Sie sich über die cloudbasierte WAF-Lösung von Cloudflare.