Definition WAF

Was ist eine Web Application Firewall?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Eine Web Application Firewall (WAF) untersucht alle an einen Webserver gesendeten Anfragen und dessen Antworten. Erkennt die Firewall verdächtige oder gefährliche Muster, unterbindet sie in der Regel die weitere Kommunikation.
Eine Web Application Firewall (WAF) untersucht alle an einen Webserver gesendeten Anfragen und dessen Antworten. Erkennt die Firewall verdächtige oder gefährliche Muster, unterbindet sie in der Regel die weitere Kommunikation. (Bild: Pixabay / CC0)

Eine Web Application Firewall (WAF) bietet Schutz für Webanwendungen, indem sie den Verkehr zwischen Clients und Webservern auf Anwendungsebene analysiert. Sie kann HTTP-Traffic überwachen, filtern und blockieren und ist direkt auf dem Server oder als eigenständige Firewall installiert.

Bei der Web Application Firewall, abgekürzt WAF, handelt es sich um eine Firewall auf Anwendungsebene, die für Applikationen im Webumfeld vorgesehen ist. Sie stellt eine Sonderform der Application Level Firewall (ALF) dar. Mit Hilfe der WAF lassen sich Webanwendungen durch die Analyse, Filterung und Blockierung von HTTP-Daten (Hypertext Transfer Protocol) schützen. Im Gegensatz zu einer normalen Firewall werden die Daten nicht auf Netz- und Protokollebene, sondern direkt auf der Anwendungsebene untersucht.

Oft kommen herkömmliche Firewalls und die WAF gemeinsam zum Einsatz und analysieren Kommunikation und Daten in aufeinander folgenden Schritten. Bei der Analyse beachtet die Application Firewall sowohl die vom Webserver gesendeten als auch die empfangenen Daten. Die WAF kann Software- oder Hardware-basiert realisiert und als eigenständige Appliance oder Zusatzkomponente installiert sein. Auch Cloud-basierte Services sind möglich. Zu den inspizierbaren Daten zählen neben HTML- und HTTPS-Paketen auch XML-RPC- und SOAP-Daten.

Je nach Konfiguration und Typ der Firewall arbeitet sie mit Black- oder Whitelists. Die Listen definieren, ob nur festgelegter Verkehr durchgelassen und der Rest blockiert wird oder alles außer erkannten Angriffsmustern die Firewall passieren darf. Viele Application Firewalls sind in der Lage, auf Basis des analysierten Verkehrs zu lernen und bisher unbekannte Angriffe aufgrund ungewöhnlicher Muster zu erkennen. Die Analyse des Webtraffics erfolgt bevor die Daten den Server erreichen in Echtzeit und erfordert eine entsprechende Rechenleistung der Firewall. Eine WAF kann Webapplikationen zum Beispiel vor bekannten Angriffen, Diebstahl von Identitäten oder Zero-Day Exploits schützen. Oft werden die Firewalls auch als Web Shields bezeichnet.

Funktionsweise der WAF und Unterscheidung gegenüber normalen Firewalls

Eine WAF untersucht alle an einen Webserver gesendeten Anfragen und dessen Antworten. Erkennt die Firewall verdächtige oder gefährliche Muster, unterbindet sie die weitere Kommunikation des jeweiligen Clients oder ganze Datenströme. Neben vordefinierten Mustern sind die Application Firewalls meist in der Lage, gefährlichen oder verbotenen Verkehr in einer vorgeschalteten Lernphase selbständig zu erkennen.

Unter anderem analysiert die Firewall die empfangenen Eingabeparameter für die Formularfelder der Webapplikation und blockiert Parameter, die nicht den definierten Vorgaben entsprechen. Vorgaben können zum Beispiel Parameterlängen, Parameterwertetypen oder Parameteranzahlen sein. Gegenüber normalen Netzwerk-Firewalls oder Intrusion Detection Systemen (IDS) bietet die WAF einen erweiterten Schutz, da sie auf einer höheren Ebene arbeitet. Während Netzwerk-Firewalls nur Absender- und Zieladressen oder die verwendeten Ports und Netzwerkdienste der Kommunikationsdaten analysiert, arbeitet die WAF direkt auf Anwendungsebene. Dadurch sorgt sie für einen zusätzlichen Schutz zu den vorhandenen Netzwerkfiltern. Sie kann Schwachstellen von Anwendungen schließen, die noch nicht aktualisiert wurden und deckt unter Umständen mehrere Angriffsziele hinter der WAF durch einen einzigen Filter ab.

Vor welchen Bedrohungen kann die WAF schützen?

Die WAF ist dafür konzipiert, die Webapplikation vor einer Vielzahl verschiedener Bedrohungen zu schützen. Darunter fallen zum Beispiel SQL Injection Angriffe, Script Injection Angriffe, Angriffe per Cross-Site Scripting (XSS), Angriffe per Pufferüberlauf oder Parameter und Hidden Field Tampering. Auch Cookie Poisoning oder der unbefugte Zugriff auf bestimmte Bereiche des Webservers und Identitätsdiebstahl können vermieden werden.

Welche WAF-Architekturen und -Arten existieren?

Für die WAF existieren abhängig von der Positionierung der Firewall zwei grundlegende Architekturen. Sie kann hinter der Netzwerk Firewall und vor dem Webserver platziert oder direkt auf dem Webserver installiert sein. Im ersten Fall handelt es sich um eine zentralisierte Architektur, im zweiten Fall um einen Host-basierten Ansatz. In der zentralisierten Architektur kommen meist dedizierte Geräte für die WAF zum Einsatz. Die WAF im Host-basierten Ansatz besteht in der Regel aus einer zusätzlichen Software. Diese Software ist beispielsweise ein Plugin für den Webserver oder direkt in der Webserver-Software integriert. Eine häufige Einsatzart für die WAF ist der so genannte Reverse-Proxy-Modus. Der Proxy befindet sich zwischen Webserver und der Firewall und terminiert die Websessions. Der Proxy führt die Zugriffe auf die Webanwendungen im Namen des Clients durch und analysiert im zweiten Schritt als Applikation Firewall die Anfragen an den eigentlichen Webserver.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Die beliebtesten Web Application Firewalls 2019

IT-Awards 2019

Die beliebtesten Web Application Firewalls 2019

Laut der Studie „The State of Web Application Firewalls (WAFs)“ des Ponemon Institutes im Auftrag von Cequence Security nimmt der Bedarf an modernen WAFs zu. So gaben 56 Prozent der Teilnehmer an, dass Angriffe auf Applikationsebene ihre vorhandene WAF manchmal oder sogar regelmäßig umgehen. Dementsprechend sind anpassungsfähige Lösungen gefragt. lesen

Automated Layered Security mit dem Capture Security Center von SonicWall

Security-Insider Deep Dive

Automated Layered Security mit dem Capture Security Center von SonicWall

Das Capture Security Center (CSC) ist eine cloudbasierte, zentrale Management-Suite, mit der alle Einzelkonsolen des SonicWall-Ökosystems zentral gesteuert werden können. Stephan Kaiser, Systems Engineer bei SonicWall, zeigt uns im Deep Dive, wie man sich als MSP oder Anwenderunternehmen innerhalb der zur Verfügung stehenden Module bewegt und was diese leisten. lesen

Das sind die Gewinner der IT-Awards 2019

IT-Awards 2019

Das sind die Gewinner der IT-Awards 2019

Auf der alljährlichen großen Abendgala wurden am Abend des 24. Oktober 2019 die Gewinner der IT-Awards 2019 ausgezeichnet. Die Preisverleihung der Insider-Portale feierte dabei gleichzeitig ein kleines Jubiläum. lesen

WAF, cIAM und API-Gateway müssen Hand in Hand gehen

[Gesponsert]

Ein Secure Access Hub schützt gegen alle Sicherheitsvorfälle

WAF, cIAM und API-Gateway müssen Hand in Hand gehen

Die Kombination einer Web Application Firewall, eines Identity & Access Managements und eines API Gateways bietet ein zeitgemäßes Paket gegen Angriffe auf Applikationen und Schnittstellen, das zusätzlich zur Security noch weitere Vorteile bietet. lesen

Unternehmen investieren in KI-gestützte Cybersicherheit

Die größten Herausforderungen im Bereich IT-Sicherheit

Unternehmen investieren in KI-gestützte Cybersicherheit

IT-Experten sind sich weltweit einig: Einer der größten Erfolgshemmer für die IT-Sicherheit ist der Umgang mit zu vielen Sicherheitsdaten. Daher möchten Unternehmen in den kommenden zwölf Monaten vor allem in ML-basierte Sicherheitsanalyselösungen investieren. Denn mit klassischen Sicherheitslösungen sind die Risiken der Cyberbedrohungen für Unternehmen nicht mehr fassbar. lesen

Airlock drängt in den deutschen Markt

Secure Access Hub

Airlock drängt in den deutschen Markt

Der Schweizer Anbieter Airlock bietet mit seinem Secure Access Hub eine umfassende Security-Lösung. Nach der Schweiz will man nun auch in Deutschland durchstarten und ist auf der Suche nach Partnern. lesen

Lösungsstrategien für die optimale Websicherheit

Schwachstellen-Management

Lösungsstrategien für die optimale Websicherheit

Cyberangriffe wurden 2018 vom Weltwirtschaftsforum als größter Risikofaktor eingestuft. Das größte Problem sind dabei vor allem webbasierte Angriffe. Da die Mehrheit der Unternehmen ihre Geschäfte über das Internet abwickelt, kann der Aufwand für vollständige Transparenz bei gleichzeitiger kompletter Sicherheit extrem hoch sein. lesen

Studie: Wissenslücken in deutschen Unternehmen

Mehrheit kennt nicht alle genutzten Anwendungen

Studie: Wissenslücken in deutschen Unternehmen

38 Prozent der Unternehmen sind sich nicht sicher, dass sie alle genutzten Anwendungen kennen. Die Deutschen besitzen mit 45 Prozent noch am ehesten den vollständigen Überblick. Schlusslicht sind die Briten mit 32 Prozent. Dies zeige eine von F5 Networks gesponserte Studie. lesen

SSDL-Implementierung, Testing und Nachsorge

Secure Software Development Lifecycle, Teil 3

SSDL-Implementierung, Testing und Nachsorge

Um einen sichere Softwareentwicklungs-Lebenszyklus richtig umzusetzen, bedarf es einiger Planung. Doch damit mit der Implementierung allein ist es noch nicht getan, im Nachgang sind noch weitere Schritte erforderlich. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44801869 / Definitionen)