Was ist eine Web Application Firewall?

Eine Webanwendungs-Firewall (WAF) wird am Netzwerkrand bereitgestellt und überprüft den Datenverkehr von und zur Webanwendung. Es kann den Datenverkehr filtern und überwachen, um sich vor Angriffen wie SQL-Injection, Cross-Site-Scripting (XSS) und Cross-Site-Request-Forgery (CSRF) zu schützen.

Eine WAF arbeitet auf der Netzwerkschicht 7 (der Anwendungsschicht). Es kann zwar eine Vielzahl von Angriffen auf der Anwendungsebene abwehren, kann jedoch nicht eigenständig eingesetzt werden und muss mit anderen Sicherheitstools kombiniert werden, um sich vor Angriffen zu schützen, die auf andere Netzwerkebenen oder andere Teile der Sicherheitsumgebung abzielen.

Mehr erfahren Kostenlose Testversion

What is a Web Application Firewall (WAF)?

Was ist der Unterschied zwischen WAF und Firewall?

Firewall ist ein allgemeiner Begriff für Firmware, die den ein- und ausgehenden Datenverkehr in einem Netzwerk filtert. Innerhalb dieser weit gefassten Definition gibt es mehrere Kategorien, die sich in der Art des Schutzes unterscheiden, den sie bieten. Dazu gehören Stateful Inspection, Paketfilterung, Proxyserver und Firewall der nächsten Generation (NGFW).

 

WAF ist eine andere Art von Firewall, die sich durch die Art und Weise auszeichnet, wie sie Datenpakete filtert. WAF überprüft die Anwendungsschicht des Netzwerks und kann viele Angriffe verhindern, die für andere Firewall Typen unsichtbar sind. Beispielsweise würde ein SQL-Injection-Angriff von einer normalen Firewall nicht erkannt werden, da sie die Nutzlasten von Anwendungsanforderungen, wie etwa SQL-Abfragen, nicht überprüft.

 

Im Gegensatz zu einer herkömmlichen Firewall , die Datenverkehr aus bestimmten IP-Bereichen, Regionen usw. blockieren kann, können Sie mit WAFs Regeln definieren, die bestimmte Arten von Anwendungsverhalten ausschließen, die bösartig erscheinen.

Arten von Web Application Firewall

Es gibt drei Haupttypen von Webanwendungsservern: Netzwerk-WAF, hostbasierte WAF und Cloud-WAF.

Appliance WAF

In der Regel hardwarebasiert, kann lokal mit dedizierter Ausrüstung installiert werden und kann so nah wie möglich an der Feldanwendung installiert werden, um die Latenz zu reduzieren.

 

Mit den meisten hardwarebasierten WAFs können Sie Regeln und Einstellungen zwischen Geräten kopieren, um eine groß angelegte Bereitstellung im Unternehmensnetzwerk zu unterstützen. Der Nachteil einer Netzwerk-WAF besteht darin, dass sie eine große Vorabinvestition sowie laufende Wartungskosten erfordert.

 

Eine Alternative zur hardwarebasierten WAF besteht darin, die WAF als virtuelle Appliance auszuführen, entweder lokal, oft unter Verwendung der Netzwerk Function Virtualization (NVF)-Technologie, oder in der öffentlichen Cloud, indem ein vorkonfiguriertes Cloud-Maschinen-Image bereitgestellt wird. Dies reduziert den Kapitalaufwand, verursacht aber dennoch einen Wartungsaufwand.

Hostbasierte WAF

Kann vollständig in Ihren Anwendungscode integriert werden. Zu den Vorteilen dieses Bereitstellungsmodells gehören deutlich geringere Kosten und eine verbesserte Individualisierung. Die Bereitstellung hostbasierter WAFs ist jedoch komplexer, da bestimmte Bibliotheken auf dem Anwendungsserver installiert werden müssen und für eine effektive Ausführung auf Serverressourcen angewiesen sind. Die WAF wird auch zu einer Abhängigkeit der Webanwendung, die während des gesamten Entwicklungslebenszyklus verwaltet werden muss.

Cloud-WAF

Dies ist eine kostengünstige Option, die eine schlüsselfertige WAF-Lösung ohne Vorabinvestitionen und mit schneller Bereitstellung bietet. Cloud-WAF-Lösungen basieren in der Regel auf Abonnements und erfordern lediglich eine einfache DNS- oder Proxy-Konfiguration, um zu funktionieren. CloudWAFs haben Zugriff auf ständig aktualisierte Bedrohungsinformationen und bieten möglicherweise auch verwaltete Dienste an, die Sie bei der Definition von Sicherheitsregeln und der Reaktion auf Angriffe unterstützen, sobald diese stattfinden.

 

Die Herausforderung bei Cloud-WAFs besteht darin, dass Sie Ihrem Anbieter vertrauen müssen, dass er den gesamten Datenverkehr an Ihre Webanwendung weiterleitet. Wenn der WAF-Anbieter ausfällt, fällt auch Ihre Website aus, und wenn die Leistung schlecht ist, leidet die Leistung Ihrer Website. Aus diesem Grund bieten die meisten Cloud-WAF-Anbieter eine integrierte WAF-, CDN- und DDoS-Schutzlösung an, um Betriebszeit und minimale Latenz sicherzustellen.

Wie funktioniert eine Web Application Firewall ?

Eine Web Application Firewall verfügt über mehrere mögliche Bereitstellungsmodelle:

  • Hardware oder virtuelle Appliance
  • Software, die auf demselben Webserver wie die Webanwendung läuft
  • CloudDienst

 

Bei jedem dieser Bereitstellungsmodelle sitzt die WAF immer vor der Webanwendung und fängt den gesamten Datenverkehr zwischen der Anwendung und dem Internet ab.

 

Whitelisting vs. Blacklisting

 

Eine WAF kann in einem Whitelist-Modell arbeiten und nur bekanntermaßen fehlerfreien Anwendungsverkehr durchlassen, oder in einem Blacklist-Modell und blockiert Verkehr, der bekannten Angriffsmustern oder Sicherheitsregeln entspricht.

 

WAFs fangen HTTP/S-Anfragen ab, prüfen sie und lassen sie nur durch, wenn sie bestätigen, dass sie nicht bösartig sind. Auf die gleiche Weise untersucht es Serverantworten und überprüft sie auf bekannte Muster von Webanwendungsangriffen, wie z. B. Session-Hijacking, Pufferüberlauf, XSS, Command-and-Control-Kommunikation (C&C) oder Denial-of-Service (DoS).

WAF-Funktionen

WAFs bieten normalerweise die folgenden Funktionen:

 

  • Angriffssignaturdatenbank– dabei handelt es sich um Muster, die zur Identifizierung böswilligen Datenverkehrs verwendet werden können. Dazu können bekannte bösartige IP-Adressen, Arten von Anfragen, ungewöhnliche Serverantworten und mehr gehören. In der Vergangenheit stützten sich WAFs hauptsächlich auf Datenbanken mit Angriffsmustern, diese Technik ist jedoch gegen neue und unbekannte Angriffe weitgehend wirkungslos.
  • KI/ML-Analyse von Verkehrsmustern– moderne WAFs führen Verhaltensanalysen des Verkehrs mithilfe von Algorithmen der künstlichen Intelligenz durch. Sie identifizieren Baselines für bestimmte Arten von Datenverkehr und erfassen Anomalien, die einen Angriff darstellen könnten. Dadurch ist es möglich, Angriffe auch dann zu erkennen, wenn sie keinem bekannten Schadmuster entsprechen.
  • Anwendungsprofilierung– die WAF analysiert die Webanwendungsstruktur, einschließlich URL, typische Anfragen, zulässige Datentypen und Werte. Dies kann dabei helfen, ungewöhnliche oder böswillige Anfragen zu erkennen und zu blockieren.
  • Anpassungs-Engine– Mit der WAF können Betreiber Sicherheitsregeln definieren, die speziell auf die Organisation oder Webanwendung zugeschnitten sind, und diese sofort auf den Anwendungsdatenverkehr anwenden. Dies ist wichtig, um die Anpassung des WAF-Verhaltens zu ermöglichen und die Blockierung legitimen Datenverkehrs zu vermeiden.
  • Korrelations-Engine –analysiert eingehenden Datenverkehr und selektiert ihn mithilfe bekannter Angriffssignaturen, KI/ML-Analyse, Anwendungsprofilierung und benutzerdefinierten Regeln, um zu bestimmen, ob er blockiert werden sollte oder nicht.
  • DDoS-Schutz– WAFs lassen sich häufig in Cloud basierte DDoS-Schutzplattformen (Distributed Denial as a Service) integrieren. Wenn die WAF einen DDoS-Angriff erkennt, kann sie die Anfragen blockieren und den Datenverkehr an das DDoS-Schutzsystem weiterleiten, das skalierbar ist, um großen, volumetrischen Angriffen standzuhalten.
  • Content Delivery Netzwerk (CDN)– Da WAFs am Netzwerkrand bereitgestellt werden, können Cloud-basierte WAFs auch ein CDN bereitstellen, das die Website zwischenspeichert, um die Ladezeit der Website zu verbessern. Das WAF/CDN wird an mehreren auf der ganzen Welt verteilten Points of Presence (PoP) bereitgestellt, und die Website wird den Benutzern über den nächstgelegenen PoP bereitgestellt.

Nachteile der regelbasierten Web Application Firewall (WAF)

WAFs werden am Netzwerkrand eingesetzt und versuchen, verdächtigen Datenverkehr zu filtern und zu blockieren. Traditionell wurde diese Filterung mithilfe von Regeln durchgeführt, die entweder standardmäßig vom WAF-Anbieter bereitgestellt oder von der Organisation, die die WAF bereitstellt, angepasst wurden.

 

Das Problem bei regelbasierten WAFs besteht darin, dass sie einen sehr hohen Wartungsaufwand erfordern. Organisationen müssen sorgfältig Regeln definieren, die ihren spezifischen Anwendungsmustern entsprechen, die sich im Laufe der Zeit ändern können, wenn neue Anwendungen eingeführt werden und sich weiterentwickeln. Dies macht es auch schwieriger, sich ändernden Bedrohungsvektoren zu begegnen – neue Angriffe erfordern möglicherweise neue Regeln.

 

Eine zusätzliche Herausforderung ist der Betrieb von WAFs in einer Mikroservice-Umgebung. In einer großen Mikroservice-Anwendung werden mehrmals täglich neue Versionen von Mikroservice veröffentlicht. Es ist einfach unpraktisch, eine WAF bereitzustellen und Regelsätze für jede Komponente zu aktualisieren. Das bedeutet, dass Mikroservice in vielen Fällen ungeschützt durch eine WAF bleibt.

Check Point Webanwendung und API-Schutz

Appsec war schon immer eine Herausforderung, aber da die Entwicklungsgeschwindigkeit schneller denn je ist, ist es fast unmöglich geworden, die Anwendung zu schützen, ohne umfangreiche WAF-Wartung zu erfordern oder legitime Benutzer zu blockieren.

CloudGuard AppSec von Check Point nutzt KI, um Kunden eine bessere Sicherheitsabdeckung bei geringerem Overhead zu bieten.

Stoppen Sie Fehlalarme, schützen Sie Apps und API mit einer automatisierten Lösung, die so schnell wie DevOps ist und Folgendes bietet: präzise Prävention, keine Richtlinienverwaltung, automatisierte Bereitstellung in jeder Umgebung.

Starten Sie jetzt Ihre kostenlose Testversion und sichern Sie sich Ihre Apps.

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Durch die weitere Nutzung dieser Website erklären Sie sich mit der Verwendung von Cookies einverstanden. Für weitere Informationen lesen Sie bitte unseren Hinweis zu Cookies.
OK