Definition WAF

Was ist eine Web Application Firewall?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Eine Web Application Firewall (WAF) untersucht alle an einen Webserver gesendeten Anfragen und dessen Antworten. Erkennt die Firewall verdächtige oder gefährliche Muster, unterbindet sie in der Regel die weitere Kommunikation.
Eine Web Application Firewall (WAF) untersucht alle an einen Webserver gesendeten Anfragen und dessen Antworten. Erkennt die Firewall verdächtige oder gefährliche Muster, unterbindet sie in der Regel die weitere Kommunikation. (Bild: Pixabay / CC0)

Eine Web Application Firewall (WAF) bietet Schutz für Webanwendungen, indem sie den Verkehr zwischen Clients und Webservern auf Anwendungsebene analysiert. Sie kann HTTP-Traffic überwachen, filtern und blockieren und ist direkt auf dem Server oder als eigenständige Firewall installiert.

Bei der Web Application Firewall, abgekürzt WAF, handelt es sich um eine Firewall auf Anwendungsebene, die für Applikationen im Webumfeld vorgesehen ist. Sie stellt eine Sonderform der Application Level Firewall (ALF) dar. Mit Hilfe der WAF lassen sich Webanwendungen durch die Analyse, Filterung und Blockierung von HTTP-Daten (Hypertext Transfer Protocol) schützen. Im Gegensatz zu einer normalen Firewall werden die Daten nicht auf Netz- und Protokollebene, sondern direkt auf der Anwendungsebene untersucht.

Oft kommen herkömmliche Firewalls und die WAF gemeinsam zum Einsatz und analysieren Kommunikation und Daten in aufeinander folgenden Schritten. Bei der Analyse beachtet die Application Firewall sowohl die vom Webserver gesendeten als auch die empfangenen Daten. Die WAF kann Software- oder Hardware-basiert realisiert und als eigenständige Appliance oder Zusatzkomponente installiert sein. Auch Cloud-basierte Services sind möglich. Zu den inspizierbaren Daten zählen neben HTML- und HTTPS-Paketen auch XML-RPC- und SOAP-Daten.

Je nach Konfiguration und Typ der Firewall arbeitet sie mit Black- oder Whitelists. Die Listen definieren, ob nur festgelegter Verkehr durchgelassen und der Rest blockiert wird oder alles außer erkannten Angriffsmustern die Firewall passieren darf. Viele Application Firewalls sind in der Lage, auf Basis des analysierten Verkehrs zu lernen und bisher unbekannte Angriffe aufgrund ungewöhnlicher Muster zu erkennen. Die Analyse des Webtraffics erfolgt bevor die Daten den Server erreichen in Echtzeit und erfordert eine entsprechende Rechenleistung der Firewall. Eine WAF kann Webapplikationen zum Beispiel vor bekannten Angriffen, Diebstahl von Identitäten oder Zero-Day Exploits schützen. Oft werden die Firewalls auch als Web Shields bezeichnet.

Funktionsweise der WAF und Unterscheidung gegenüber normalen Firewalls

Eine WAF untersucht alle an einen Webserver gesendeten Anfragen und dessen Antworten. Erkennt die Firewall verdächtige oder gefährliche Muster, unterbindet sie die weitere Kommunikation des jeweiligen Clients oder ganze Datenströme. Neben vordefinierten Mustern sind die Application Firewalls meist in der Lage, gefährlichen oder verbotenen Verkehr in einer vorgeschalteten Lernphase selbständig zu erkennen.

Unter anderem analysiert die Firewall die empfangenen Eingabeparameter für die Formularfelder der Webapplikation und blockiert Parameter, die nicht den definierten Vorgaben entsprechen. Vorgaben können zum Beispiel Parameterlängen, Parameterwertetypen oder Parameteranzahlen sein. Gegenüber normalen Netzwerk-Firewalls oder Intrusion Detection Systemen (IDS) bietet die WAF einen erweiterten Schutz, da sie auf einer höheren Ebene arbeitet. Während Netzwerk-Firewalls nur Absender- und Zieladressen oder die verwendeten Ports und Netzwerkdienste der Kommunikationsdaten analysiert, arbeitet die WAF direkt auf Anwendungsebene. Dadurch sorgt sie für einen zusätzlichen Schutz zu den vorhandenen Netzwerkfiltern. Sie kann Schwachstellen von Anwendungen schließen, die noch nicht aktualisiert wurden und deckt unter Umständen mehrere Angriffsziele hinter der WAF durch einen einzigen Filter ab.

Vor welchen Bedrohungen kann die WAF schützen?

Die WAF ist dafür konzipiert, die Webapplikation vor einer Vielzahl verschiedener Bedrohungen zu schützen. Darunter fallen zum Beispiel SQL Injection Angriffe, Script Injection Angriffe, Angriffe per Cross-Site Scripting (XSS), Angriffe per Pufferüberlauf oder Parameter und Hidden Field Tampering. Auch Cookie Poisoning oder der unbefugte Zugriff auf bestimmte Bereiche des Webservers und Identitätsdiebstahl können vermieden werden.

Welche WAF-Architekturen und -Arten existieren?

Für die WAF existieren abhängig von der Positionierung der Firewall zwei grundlegende Architekturen. Sie kann hinter der Netzwerk Firewall und vor dem Webserver platziert oder direkt auf dem Webserver installiert sein. Im ersten Fall handelt es sich um eine zentralisierte Architektur, im zweiten Fall um einen Host-basierten Ansatz. In der zentralisierten Architektur kommen meist dedizierte Geräte für die WAF zum Einsatz. Die WAF im Host-basierten Ansatz besteht in der Regel aus einer zusätzlichen Software. Diese Software ist beispielsweise ein Plugin für den Webserver oder direkt in der Webserver-Software integriert. Eine häufige Einsatzart für die WAF ist der so genannte Reverse-Proxy-Modus. Der Proxy befindet sich zwischen Webserver und der Firewall und terminiert die Websessions. Der Proxy führt die Zugriffe auf die Webanwendungen im Namen des Clients durch und analysiert im zweiten Schritt als Applikation Firewall die Anfragen an den eigentlichen Webserver.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

WAF, cIAM und API-Gateway müssen Hand in Hand gehen

[Gesponsert]

Ein Secure Access Hub schützt gegen alle Sicherheitsvorfälle

WAF, cIAM und API-Gateway müssen Hand in Hand gehen

Die Kombination einer Web Application Firewall, eines Identity & Access Managements und eines API Gateways bietet ein zeitgemäßes Paket gegen Angriffe auf Applikationen und Schnittstellen, das zusätzlich zur Security noch weitere Vorteile bietet. lesen

Unternehmen investieren in KI-gestützte Cybersicherheit

Die größten Herausforderungen im Bereich IT-Sicherheit

Unternehmen investieren in KI-gestützte Cybersicherheit

IT-Experten sind sich weltweit einig: Einer der größten Erfolgshemmer für die IT-Sicherheit ist der Umgang mit zu vielen Sicherheitsdaten. Daher möchten Unternehmen in den kommenden zwölf Monaten vor allem in ML-basierte Sicherheitsanalyselösungen investieren. Denn mit klassischen Sicherheitslösungen sind die Risiken der Cyberbedrohungen für Unternehmen nicht mehr fassbar. lesen

Airlock drängt in den deutschen Markt

Secure Access Hub

Airlock drängt in den deutschen Markt

Der Schweizer Anbieter Airlock bietet mit seinem Secure Access Hub eine umfassende Security-Lösung. Nach der Schweiz will man nun auch in Deutschland durchstarten und ist auf der Suche nach Partnern. lesen

Lösungsstrategien für die optimale Websicherheit

Schwachstellen-Management

Lösungsstrategien für die optimale Websicherheit

Cyberangriffe wurden 2018 vom Weltwirtschaftsforum als größter Risikofaktor eingestuft. Das größte Problem sind dabei vor allem webbasierte Angriffe. Da die Mehrheit der Unternehmen ihre Geschäfte über das Internet abwickelt, kann der Aufwand für vollständige Transparenz bei gleichzeitiger kompletter Sicherheit extrem hoch sein. lesen

Studie: Wissenslücken in deutschen Unternehmen

Mehrheit kennt nicht alle genutzten Anwendungen

Studie: Wissenslücken in deutschen Unternehmen

38 Prozent der Unternehmen sind sich nicht sicher, dass sie alle genutzten Anwendungen kennen. Die Deutschen besitzen mit 45 Prozent noch am ehesten den vollständigen Überblick. Schlusslicht sind die Briten mit 32 Prozent. Dies zeige eine von F5 Networks gesponserte Studie. lesen

SSDL-Implementierung, Testing und Nachsorge

Secure Software Development Lifecycle, Teil 3

SSDL-Implementierung, Testing und Nachsorge

Um einen sichere Softwareentwicklungs-Lebenszyklus richtig umzusetzen, bedarf es einiger Planung. Doch damit mit der Implementierung allein ist es noch nicht getan, im Nachgang sind noch weitere Schritte erforderlich. lesen

Aus Cloud Security wird User Centric Security

Citrix Technology Exchange 2018

Aus Cloud Security wird User Centric Security

Cloud Security muss neu gedacht werden, um der tatsächlichen IT-Nutzung in Unternehmen gerecht zu werden. Es geht nicht um sichere Clouds, sondern um Sicherheit bei der digitalen Arbeit. Was das bedeutet, zeigte die Konferenz Citrix Technology Exchange 2018 im World Conference Center in Bonn. lesen

Sicherheit durch intelligente Analytics-Anwendungen

Künstliche Intelligenz und Machine Learning

Sicherheit durch intelligente Analytics-Anwendungen

Wenn nachts die Alarmanlage unseres Autos losheult, sind wir in Nullkommanichts auf den Beinen. Oft genug ist es falscher Alarm, aber deswegen werden wir ihn noch lange nicht ignorieren. Auch IT-Systeme sind sich oft nicht sicher, ob sie tatsächlich bedroht werden. Analytics-Systeme mit selbstlernenden Funktionen helfen ihnen bei der Entscheidung. lesen

Die beliebtesten Web Application Firewalls 2018

IT-Awards 2018

Die beliebtesten Web Application Firewalls 2018

Wer seine Webanwendungen wirksam vor unerwünschten Zugriffen schützen will, nutzt eine Web Application Firewall (WAF). Moderne Web Application Firewalls überwachen den Datenverkehr auf Anwen­dungs­ebene direkt auf dem jeweiligen Webserver und greifen ein, sobald verdächtige Aktivitäten im Traffic auffallen. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44801869 / Definitionen)