Definition WAF

Was ist eine Web Application Firewall?

| Autor / Redakteur: Tutanch / Peter Schmitz

Eine Web Application Firewall (WAF) untersucht alle an einen Webserver gesendeten Anfragen und dessen Antworten. Erkennt die Firewall verdächtige oder gefährliche Muster, unterbindet sie in der Regel die weitere Kommunikation.
Eine Web Application Firewall (WAF) untersucht alle an einen Webserver gesendeten Anfragen und dessen Antworten. Erkennt die Firewall verdächtige oder gefährliche Muster, unterbindet sie in der Regel die weitere Kommunikation. (Bild: Pixabay / CC0)

Eine Web Application Firewall (WAF) bietet Schutz für Webanwendungen, indem sie den Verkehr zwischen Clients und Webservern auf Anwendungsebene analysiert. Sie kann HTTP-Traffic überwachen, filtern und blockieren und ist direkt auf dem Server oder als eigenständige Firewall installiert.

Bei der Web Application Firewall, abgekürzt WAF, handelt es sich um eine Firewall auf Anwendungsebene, die für Applikationen im Webumfeld vorgesehen ist. Sie stellt eine Sonderform der Application Level Firewall (ALF) dar. Mit Hilfe der WAF lassen sich Webanwendungen durch die Analyse, Filterung und Blockierung von HTTP-Daten (Hypertext Transfer Protocol) schützen. Im Gegensatz zu einer normalen Firewall werden die Daten nicht auf Netz- und Protokollebene, sondern direkt auf der Anwendungsebene untersucht.

Oft kommen herkömmliche Firewalls und die WAF gemeinsam zum Einsatz und analysieren Kommunikation und Daten in aufeinander folgenden Schritten. Bei der Analyse beachtet die Application Firewall sowohl die vom Webserver gesendeten als auch die empfangenen Daten. Die WAF kann Software- oder Hardware-basiert realisiert und als eigenständige Appliance oder Zusatzkomponente installiert sein. Auch Cloud-basierte Services sind möglich. Zu den inspizierbaren Daten zählen neben HTML- und HTTPS-Paketen auch XML-RPC- und SOAP-Daten.

Je nach Konfiguration und Typ der Firewall arbeitet sie mit Black- oder Whitelists. Die Listen definieren, ob nur festgelegter Verkehr durchgelassen und der Rest blockiert wird oder alles außer erkannten Angriffsmustern die Firewall passieren darf. Viele Application Firewalls sind in der Lage, auf Basis des analysierten Verkehrs zu lernen und bisher unbekannte Angriffe aufgrund ungewöhnlicher Muster zu erkennen. Die Analyse des Webtraffics erfolgt bevor die Daten den Server erreichen in Echtzeit und erfordert eine entsprechende Rechenleistung der Firewall. Eine WAF kann Webapplikationen zum Beispiel vor bekannten Angriffen, Diebstahl von Identitäten oder Zero-Day Exploits schützen. Oft werden die Firewalls auch als Web Shields bezeichnet.

Funktionsweise der WAF und Unterscheidung gegenüber normalen Firewalls

Eine WAF untersucht alle an einen Webserver gesendeten Anfragen und dessen Antworten. Erkennt die Firewall verdächtige oder gefährliche Muster, unterbindet sie die weitere Kommunikation des jeweiligen Clients oder ganze Datenströme. Neben vordefinierten Mustern sind die Application Firewalls meist in der Lage, gefährlichen oder verbotenen Verkehr in einer vorgeschalteten Lernphase selbständig zu erkennen.

Unter anderem analysiert die Firewall die empfangenen Eingabeparameter für die Formularfelder der Webapplikation und blockiert Parameter, die nicht den definierten Vorgaben entsprechen. Vorgaben können zum Beispiel Parameterlängen, Parameterwertetypen oder Parameteranzahlen sein. Gegenüber normalen Netzwerk-Firewalls oder Intrusion Detection Systemen (IDS) bietet die WAF einen erweiterten Schutz, da sie auf einer höheren Ebene arbeitet. Während Netzwerk-Firewalls nur Absender- und Zieladressen oder die verwendeten Ports und Netzwerkdienste der Kommunikationsdaten analysiert, arbeitet die WAF direkt auf Anwendungsebene. Dadurch sorgt sie für einen zusätzlichen Schutz zu den vorhandenen Netzwerkfiltern. Sie kann Schwachstellen von Anwendungen schließen, die noch nicht aktualisiert wurden und deckt unter Umständen mehrere Angriffsziele hinter der WAF durch einen einzigen Filter ab.

Vor welchen Bedrohungen kann die WAF schützen?

Die WAF ist dafür konzipiert, die Webapplikation vor einer Vielzahl verschiedener Bedrohungen zu schützen. Darunter fallen zum Beispiel SQL Injection Angriffe, Script Injection Angriffe, Angriffe per Cross-Site Scripting (XSS), Angriffe per Pufferüberlauf oder Parameter und Hidden Field Tampering. Auch Cookie Poisoning oder der unbefugte Zugriff auf bestimmte Bereiche des Webservers und Identitätsdiebstahl können vermieden werden.

Welche WAF-Architekturen und -Arten existieren?

Für die WAF existieren abhängig von der Positionierung der Firewall zwei grundlegende Architekturen. Sie kann hinter der Netzwerk Firewall und vor dem Webserver platziert oder direkt auf dem Webserver installiert sein. Im ersten Fall handelt es sich um eine zentralisierte Architektur, im zweiten Fall um einen Host-basierten Ansatz. In der zentralisierten Architektur kommen meist dedizierte Geräte für die WAF zum Einsatz. Die WAF im Host-basierten Ansatz besteht in der Regel aus einer zusätzlichen Software. Diese Software ist beispielsweise ein Plugin für den Webserver oder direkt in der Webserver-Software integriert. Eine häufige Einsatzart für die WAF ist der so genannte Reverse-Proxy-Modus. Der Proxy befindet sich zwischen Webserver und der Firewall und terminiert die Websessions. Der Proxy führt die Zugriffe auf die Webanwendungen im Namen des Clients durch und analysiert im zweiten Schritt als Applikation Firewall die Anfragen an den eigentlichen Webserver.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Rechenleistung kapern mit Krypto-Mining

Krypto-Mining auf einen Blick

Rechenleistung kapern mit Krypto-Mining

Das Jahr 2018 ist gerade erst ein paar Monate alt, und schon jetzt setzt sich der Trend der letzten Monate des Jahres 2017 weiter fort. Krypto-Mining-Malware wird rasch zum bevorzugten Modus Operandi der Angreifer. Im Dezember 2017 sandten 88 Prozent aller Remote Code Execution-Angriffe (RCE) einen Request an eine externe Quelle, um eine Krypto-Mining-Malware herunterzuladen. lesen

Cloud-basierte Web Application Firewall

Barracuda WAF-as-a-Service

Cloud-basierte Web Application Firewall

Barracuda Networks hat eine neue, Cloud-basierte Web Application Firewall (WAF) im Programm. Barracuda WAF-as-a-Service soll Webanwendungen absichern und Schutz auf Enterprise-Niveau bieten, ohne dass Unternehmen dabei den Aufwand für die Bereitstellung und Verwaltung einer Appliance haben. lesen

Authentifizierungslösung mit Self-Service-Funktionen

Im Test: Airlock IAM 6

Authentifizierungslösung mit Self-Service-Funktionen

Airlock Identity and Access Management (IAM) 6 ist eine zentrale Authentifizierungs­plattform mit Enterprise-Funktionen. Die Lösung unterstützt eine Vielzahl an Authentifizierungs­verfahren, arbeitet mit Standardprotokollen und automatisiert die Benutzer­administration. Viele Unternehmen verwenden die IAM-Lösung zusammen mit der Web Application Firewall (WAF) aus dem gleichem Haus. lesen

Schutz für Web-Anwendungen

Im Test: Airlock Web Application Firewall 7.0

Schutz für Web-Anwendungen

Die Airlock Web Application Firewall von Ergon Informatik ist eine Lösung zum Absichern von Web-Anwendungen. Sie arbeitet als Reverse Proxy und terminiert HTTP(S)-Verbindungen. Die Steuerung erfolgt über ein zentrales Management-Interface und das Produkt bietet damit einen zentralen Punkt, um Policies für den Anwendungszugriff umzusetzen. Außerdem bringt sie eine große Zahl an Filterfunktionen mit, unter anderem ICAP Content-Filtering, sowie SOAP/XML-, AMF- und JSON-Filter. lesen

Jetzt Lieblings-Anbieter wählen und gewinnen!

In eigener Sache: Readers' Choice Awards 2018

Jetzt Lieblings-Anbieter wählen und gewinnen!

Nach der erfolgreichen dritten Auflage unserer Readers' Choice Awards im vergangenen Jahr, geht die große Leserwahl der Insider-Medien nun in die vierte Runde! Erneut rufen wir Sie, liebe Leserinnen und Leser, nun auf, abzustimmen, wer aus Ihrer Sicht aktuell die besten Security-Anbieter sind. lesen

So verhindern Sie, dass Sie Teil eines Botnets werden

[Gesponsert]

Millionenschäden durch Datenklau – Imageverlust inklusive

So verhindern Sie, dass Sie Teil eines Botnets werden

Next-Gen-Technologien wie Sandboxing oder Deep Learning halten auch in Firewall-Lösungen Einzug – und liefern so die Antwort auf immer komplexere Cyberattacken und Zero-Day-Angriffe. lesen

Grundlagen der Web Application Firewalls

Umfassender Schutz für Web-Anwendungen

Grundlagen der Web Application Firewalls

Eine Web Application Firewall (WAF) überwacht und schützt Webanwendungen, die über das HTTP-Protokoll arbeiten. Eine WAF arbeitet regelbasiert, um Angriffsarten wie zum Beispiel Cross Site Scripting (XSS), Angriffe oder SSL-Injections abzuwehren oder aktuelle Applikationen vor neu entdeckten Sicherheitslücken mittels virtueller Patches zu schützen. lesen

DevSecOps technisch unterstützen

WAF und Reverse Proxy

DevSecOps technisch unterstützen

Die Gewohnheit, bei der Entwicklung von Webapplikationen erst zum Schluss an die IT-Sicherheit zu denken, ist nicht zukunftsfähig. Durch Cyberangriffe in den Medien geraten Unternehmen zunehmend unter Druck, ihre Sicherheitsmaßnahmen zu verbessern. In Geschäftsbereichen wie dem Bank- und Finanzwesen, in denen IT-Sicherheit einen besonders hohen Stellenwert hat, hat sich die Situation bereits verbessert, aber vielerorts verharrt man in den alten Mustern. lesen

DevOps mit RASP sicherer machen

Runtime Application Self Protection

DevOps mit RASP sicherer machen

DevOps stellt besondere Herausforderungen an die IT-Sicherheit. Kontinuierliches Feedback aber kann Anwendungen sicherer machen kann. In diesem Beitrag schauen wir uns an, welche Technologien dabei helfen. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44801869 / Definitionen)