Eine WAF oder Web Application Firewall ist eine Sicherheitslösung, die Webanwendungen vor einer Vielzahl von Angriffen und Schwachstellen schützen soll. Im Gegensatz zu herkömmlichen Firewalls, die auf Netzwerkebene agieren, agieren WAFs auf der Anwendungsebene und ermöglichen es ihnen, den HTTP-Verkehr zwischen einer Webanwendung und dem Internet zu überwachen und zu filtern. Sie prüfen eingehende Anfragen und ausgehende Antworten und identifizieren und blockieren bösartigen Datenverkehr, der Schwachstellen auf Anwendungsebene wie SQL-Injection, Cross-Site-Scripting (XSS) und andere OWASP-Top-10-Bedrohungen ausnutzen könnte.
Der Hauptunterschied zwischen einer Firewall und einer WAF liegt in ihrem Umfang und Zweck. Eine herkömmliche Firewall fungiert als Barriere zwischen einem vertrauenswürdigen internen Netzwerk und nicht vertrauenswürdigen externen Netzwerken und kontrolliert den Datenverkehr anhand von IP-Adressen, Ports und Protokollen. Der Schwerpunkt liegt in erster Linie auf der Sicherheit auf Netzwerkebene, während eine WAF speziell für den Schutz von Webanwendungen entwickelt wurde, indem der HTTP-Verkehr auf der Anwendungsebene analysiert und gefiltert wird. WAFs prüfen detaillierter und konzentrieren sich auf den Inhalt und die Struktur von Webanfragen und -antworten, um Angriffe auf Webanwendungen zu erkennen und zu blockieren.
WAF-Regeln definieren die Kriterien und Bedingungen, unter denen Datenverkehr von der Webanwendungs-Firewall zugelassen oder blockiert wird. Diese Regeln können von Sicherheitsexperten vordefiniert oder basierend auf spezifischen Anwendungsanforderungen und Sicherheitsrichtlinien angepasst werden. Zu den gängigen WAF-Regeln gehören Mustervergleich für bekannte Angriffssignaturen, Ratenbegrenzung zur Verhinderung von Missbrauch, URL-Whitelisting oder Blacklisting sowie Regeln zur Durchsetzung der Einhaltung von Sicherheitsstandards wie PCI DSS (Payment Card Industry Data Security Standard).
Sie würden eine WAF immer dann verwenden, wenn Sie Webanwendungen vor potenziellen Bedrohungen und Schwachstellen schützen müssen, die ihre Sicherheit gefährden könnten. WAFs sind besonders wertvoll in Szenarien, in denen Webanwendungen sensible Daten wie Finanzinformationen, persönliche Daten oder proprietäre Geschäftsdaten verarbeiten. Sie bieten eine zusätzliche Verteidigungsebene über herkömmliche Netzwerksicherheitsmaßnahmen hinaus und stellen sicher, dass Webanwendungen vor sich entwickelnden Bedrohungen geschützt bleiben, ohne den legitimen Benutzerverkehr zu beeinträchtigen.
Es gibt zwei Haupttypen von WAFs: netzwerkbasierte WAFs und hostbasierte WAFs. Netzwerkbasierte WAFs werden typischerweise zwischen dem Client und dem Webserver eingesetzt und fungieren als Gateway zum Filtern und Überwachen des eingehenden HTTP/HTTPS-Verkehrs. Sie eignen sich gut zum Schutz mehrerer Webanwendungen innerhalb des Netzwerks einer Organisation, können jedoch aufgrund ihrer Platzierung zu Latenzzeiten führen. Hostbasierte WAFs hingegen werden direkt auf Webservern oder innerhalb der Anwendung selbst installiert und bieten eine detailliertere Kontrolle und Einblick in den Datenverkehr auf Anwendungsebene. Sie eignen sich ideal für Umgebungen, in denen einzelne Anwendungen individuelle Sicherheitsrichtlinien erfordern oder in denen Compliance-Anforderungen einen Schutz auf Anwendungsebene erfordern.