Was ist eine Webanwendungs-Firewall (WAF)?

Eine Webanwendungs-Firewall (WAF) schützt Webanwendungen vor einer Vielzahl an Angriffen auf Anwendungsebene, z. B. Cross-Site-Scripting (XSS), SQL-Einschleusung und Cookie-Poisoning. Angriffe auf Ihre Anwendungen, die das Gateway zu Ihren wertvollen Daten sind, stellen die Hauptursache für Datenschutzverletzungen dar. Durch den Einsatz einer passenden WAF können Sie diese Reihe an Angriffen, die darauf abzielen, Ihre Daten durch die Kompromittierung Ihres Systems herauszufiltern, blockieren.

Wie funktioniert eine Webanwendungs-Firewall (WAF)?

Eine WAF schützt Ihre Webanwendungen durch das Filtern, Überwachen und Blockieren jeglichen böswilligen HTTP/S-Datenverkehrs, der zur Webanwendung gelangt, und verhindert, dass nicht autorisierte Daten die Anwendung verlassen. Dies geschieht durch die Einhaltung einer Reihe von Richtlinien, mit deren Hilfe bestimmt werden kann, welcher Datenverkehr als böswillig und welcher als sicher gilt. Genauso wie ein Proxy-Server als Vermittler fungiert, um die Identität eines Clients zu schützen, arbeitet eine WAF auf ähnliche Weise, jedoch in umgekehrter Form als Reverse-Proxy, der als Vermittler fungiert und den Webanwendungsserver vor einem potenziell böswilligen Client schützt.

WAFs können in Form von Software, einer Appliance oder As-a-Service bereitgestellt werden. Die Richtlinien können an die individuellen Anforderungen Ihrer Webanwendung oder einer Reihe von Webanwendungen angepasst werden. Obwohl die Richtlinien für viele WAFs regelmäßig aktualisiert werden müssen, um neue Schwachstellen zu beheben, ermöglichen Fortschritte beim maschinellen Lernen die automatische Aktualisierung einiger WAFs. Diese Automatisierung gewinnt immer mehr an Bedeutung, da die Bedrohungslandschaft immer komplexer und vielschichtiger wird.

Der Unterschied zwischen einer Webanwendungs-Firewall (WAF), einem Intrusion-Prevention-System (IPS) und einer Firewall der nächsten Generation (NGFW)

Ein IPS ist ein Intrusion-Prevention-System, eine WAF eine Webanwendungs-Firewall und eine NGFW eine Firewall der nächsten Generation. Was ist der Unterschied zwischen ihnen?

Ein IPS ist ein breiter gefasstes Sicherheitsprodukt. Es ist in der Regel signatur- und richtlinienbasiert, d. h. es kann auf der Grundlage einer Signaturdatenbank und etablierter Richtlinien Prüfungen auf bekannte Schwachstellen und Angriffsvektoren durchführen. Das IPS legt einen auf der Datenbank und den Richtlinien basierenden Standard fest und sendet dann Warnmeldungen, wenn der Datenverkehr vom Standard abweicht. Die Signaturen und Richtlinien werden mit der Zeit erweitert, wenn neue Schwachstellen bekannt werden. Im Allgemeinen schützt das IPS den Datenverkehr über eine Reihe von Protokolltypen wie DNS, SMTP, TELNET, RDP, SSH und FTP. IPS wird in der Regel auf den Schichten 3 und 4, den Netzwerk- und Sitzungsschichten, betrieben und schützt genau diese Schichten, auch wenn einige einen begrenzten Schutz auf Anwendungsebene (Schicht 7) bieten können.

Eine Webanwendungs-Firewall (WAF) schützt die Anwendungsebene und ist speziell dafür ausgelegt, jede HTTP/S-Anfrage auf Anwendungsebene zu analysieren. Sie ist in der Regel benutzer-, sitzungs- und anwendungsorientiert, kennt die dahinter liegenden Webanwendungen und weiß, welche Dienste diese anbieten. Aus diesem Grund kann man sich eine WAF als Vermittler zwischen dem Benutzer und der Anwendung selbst vorstellen, der alle Kommunikationen analysiert, bevor sie die Anwendung oder den Benutzer erreichen. Herkömmliche WAFs stellen sicher, dass nur genehmigte Aktionen (basierend auf der Sicherheitsrichtlinie) ausgeführt werden können. Für viele Organisationen stellen WAFs eine vertrauenswürdige, erste Verteidigungslinie für Anwendungen dar, insbesondere zum Schutz vor den OWASP Top 10, einer Grundliste der am häufigsten auftretenden Anwendungsschwachstellen. Diese Top 10 umfasst derzeit:

  • Einschleusungen
  • Fehler in der Authentifizierung
  • Verlust der Vertraulichkeit sensibler Daten
  • XML External Entities (XXE)
  • Fehler in der Zugriffskontrolle
  • Sicherheitsrelevante Fehlkonfiguration
  • Cross-Site-Scripting (XSS)
  • Unsichere Deserialisierung

Holen Sie sich das E-Book, um sich auf die OWASP Top 10 vorzubereiten

Sehen Sie sich dieses kurze Video zu dem Thema IPS vs. WAF an

Eine Firewall der nächsten Generation (NGFW) überwacht den Datenverkehr, der über Websites, E-Mail-Konten und SaaS in das Internet gelangt. Einfach ausgedrückt: Sie schützt den Benutzer (im Gegensatz zur Webanwendung). Eine NGFW setzt nutzerbasierte Richtlinien durch und erweitert die Sicherheitsrichtlinien um einen Kontext, zusätzlich zu Funktionen wie URL-Filterung, Anti-Virus-/Anti-Malware-Programmen und möglicherweise eigene Intrusion-Prevention-Systeme (IPS). Während eine WAF typischerweise ein Reverse-Proxy ist (der von Servern verwendet wird), sind NGFWs oft Forward-Proxys (die von Clients wie einem Browser verwendet werden).

Die verschiedenen Möglichkeiten der Bereitstellung einer WAF

Eine WAF kann auf verschiedene Weise bereitgestellt werden. Dies hängt davon ab, wo Ihre Anwendungen bereitgestellt werden, welche Dienste benötigt werden, wie Sie sie verwalten möchten und welches Maß an architektonischer Flexibilität und Leistung Sie benötigen. Wollen Sie die Verwaltung selbst übernehmen oder möchten Sie die Verwaltung auslagern? Möchten Sie eine cloudbasierte Option nutzen oder möchten Sie Ihre WAF vor Ort einsetzen? Die Art und Weise, wie Sie die WAF bereitstellen möchten, hilft Ihnen bei der Entscheidung, welche WAF für Sie die richtige Wahl ist. Nachstehend finden Sie die verfügbaren Optionen.

WAF-Bereitstellungsoptionen:
  • Cloudbasiert + vollständige Verwaltung-as-a-Service – Eine großartige Wahl, wenn Sie sich die schnellste und müheloseste Option wünschen, um eine WAF vor Ihren Anwendungen einzusetzen (insbesondere wenn Sie nur über begrenzte interne Sicherheits-/IT-Ressourcen verfügen)
  • Cloudbasiert + Selbstverwaltung – Sie erhalten die gesamte Flexibilität und sicherheitsrelevante Mobilität der Cloud und behalten gleichzeitig die Kontrolle über die Verwaltung des Datenverkehrs und die Einstellungen der Sicherheitsrichtlinien
  • Cloudbasiert + automatische Bereitstellung – Der einfachste Weg, um eine WAF zunächst in der Cloud bereitzustellen und Sicherheitsrichtlinien auf einfache, kosteneffektive Weise zu implementieren
  • Vor Ort bereitgestellte erweiterte WAF (virtuelle oder Hardware-Appliance) – Erfüllt die anspruchsvollsten Einsatzanforderungen, wenn Flexibilität, Leistung und erweiterte Sicherheitsbedenken von entscheidender Bedeutung sind

Hier finden Sie einen Leitfaden, der Ihnen bei der Auswahl der für Sie geeigneten WAF und Bereitstellungsmethode hilft.

Erfahren Sie mehr über die WAF und wie Sie Ihre Anwendungen mit der Advanced WAF-Technologie von F5 schützen