A WAF, or web application firewall, is a virtual security appliance, cloud service designed to protect organizations at the application level by filtering, monitoring and analyzing hypertext transfer protocol (HTTP) and hypertext transfer protocol secure (HTTPS) traffic between the web applications and the internet.
In dieser Radware Minute-Folge mit Uri Dorot von Radware erfahren Sie, was eine Web Application Firewall ist, warum es wichtig ist, eine solche zu haben, wie sie funktioniert und worauf Sie bei der Auswahl einer solchen achten sollten.
WAF schützt Web-Applikationen unter anderem vor Angriffen wie Cross-Site Forgery, Server-Side-Request-Forgery, File Inclusion und SQL-Injection. Außerdem schützt sie Applikationen und Websites vor Schwachstellen, Exploits und Zero-Day-Angriffen. Angriffe auf Applikationen sind die Hauptursache für Datenschutzverletzungen – sie sind der Zugang zu Ihren wertvollen Daten. Mit der richtigen WAF können Sie eine Vielzahl von Angriffen erfolgreich abwehren, die durch Kompromittierung der Systeme auf das Ausschleusen von Daten abzielen.
Bei der Bereitstellung einer WAF vor einer Web-Applikation wird ein Schutzschild zwischen der Web-Applikation und dem Internet errichtet, das den gesamten Datenverkehr zwischen der Applikation und den Endnutzern überwacht. A WAF protects the web apps by filtering, monitoring, and blocking any malicious HTTP/S traffic traveling to the web application, and also prevents any unauthorized data from leaving the application by adhering to a set of policies that help determine what traffic is malicious and what traffic is safe. Just as a proxy server acts as an intermediary to protect the identity of a client, in a traditional deployment, a WAF operates in similar fashion but in the reverse—called a reverse proxy—acting as an intermediary that protects the web app server from a potentially malicious client.

There are three approaches to security that WAFs typically take:
Whitelisting- An "allow list" that uses machine learning and behavior modeling algorithms to define what traffic the WAF lets through. It then blocks the rest.
Blacklisting- A "block list" based on up-to-date signatures against known vulnerabilities that defines what traffic the WAF denies. The rest is accepted.
Hybrid Approach– The WAF relies on a combination of both positive and negative security models—a combination of allow and block lists that determines what gets through.
The main difference between a firewall and a web application firewall is that a firewall is usually associated with protection of only the network and transport layers (layers 3 and 4). However, a web application firewall provides protection to layer 7.
Eine WAF kann auf verschiedene Arten implementiert werden, mit den jeweiligen Vor- und Nachteilen. Es gibt drei WAF-Typen:
- Eine netzwerkbasierte WAF ist meist hardwarebasiert. Da sie lokal installiert wird, sinkt die Latenz auf ein Minimum, jedoch müssen die physischen Geräte auch gelagert und gewartet werden.
- Eine softwarebasierte WAF wird von einem Service Provider verwaltet, der die WAF als Security-as-a-Service anbietet.
Cloudbasierte WAF bieten eine kostengünstige und einfach zu implementierende Option. Meist handelt es sich um eine schlüsselfertige Installation, bei der lediglich eine Änderung des DNS zur Umleitung des Datenverkehrs erforderlich ist. Cloudbasierte WAF haben auch nur minimale Vorlaufkosten, da Benutzer monatlich oder jährlich für Sicherheit als Service bezahlen. Cloudbasierte WAF können auch eine Lösung bieten, die kontinuierlich aktualisiert wird, um vor den neuesten Bedrohungen zu schützen, ohne dass für den Benutzer zusätzliche Aufgaben oder Kosten anfallen. Der Nachteil einer cloudbasierten WAF ist, dass die Benutzer die Verantwortung an einen externen Anbieter abgeben.
Im Idealfall kann eine WAF entweder inline bereitgestellt werden, wobei die Lösung als „Vermittler“ fungiert, oder als API-basierter Out-of-Path-Service (OOP). Eine API-basierte OOP-Bereitstellung kann verschiedene entscheidende Vorteile bieten, mit denen sie für Multi-Cloud-Umgebungen optimiert werden kann. Sie ermöglicht die direkte Weiterleitung von Applikationsanfragen vom Client an den Applikationsserver ohne Unterbrechung. Zu den Vorteilen gehören eine geringere Latenz, keine Traffic-Umleitung, erhöhte Uptime und umfassender Schutz in heterogenen Umgebungen.
Im Idealfall verbindet eine WAF sowohl positive als auch negative Sicherheitsmodelle, um einen umfassenden Schutz zu bieten. Dabei kann sie bekannte Angriffe auf Web-Applikationen wie Zugriffsverletzungen, hinter CDN getarnte Angriffe, API-Manipulationen und Angriffe, die bereits erwähnten HTTP/S Floods und Brute-Force-Angriffe und andere mildern. Ferner bietet diese Kombination auch Schutz vor unbekannten Angriffen und Schwachstellen, wie z. B. Zero-Day-Attacken.
Eine Web Application Firewall sollte auch verhaltensbasierte Machine-Learning-Algorithmen für einen umfassenden Schutz nutzen, damit sie Sicherheitsrichtlinien in Echtzeit erstellen und optimieren kann und dabei nur minimale oder gar keine Fehlalarme produziert. Diese Fähigkeit sollte auch die automatische Erkennung und den Schutz neuer Applikationen ermöglichen, sobald sie einem Netzwerk hinzugefügt werden.
Eine WAF sollte außerdem folgende wichtige Funktionen bieten:
- Zu den Kernfunktionen sollte die Filterung des Netzwerkverkehrs auf Grundlage von Geoblocking, IP-Gruppen, Blocklist, Allowlist, Whitelisting und Blacklisting gehören.
- API-Erkennung und API-Schutz, der Sichtbarkeit, Durchsetzung und Milderung aller Formen von API-Missbrauch und Manipulation bietet, und zwar für On-Premise- wie für Cloud-Umgebungen
- Eingebauter DDoS-Schutz zur Unterbindung der zuvor genannten DDoS-Angriffe auf Applikationsebene
- Die Fähigkeit zur Integration mit Bot-Management-Lösungen, um hochentwickelte, menschenähnliche Bots zu erkennen und zu integrieren
- Mechanismen zur Verhinderung von Datenverlusten maskieren automatisch sensible Benutzerdaten wie personenbezogene Daten (PII)
Für viele Unternehmen bestehen aufgrund dynamischer Entwicklungsmethoden, der Verlagerung in die Cloud, der verstärkten Nutzung von webbasierter Software oder SaaS-Anwendungen und von Mitarbeitern an entfernten Standorten erhöhte Sicherheitsrisiken auf Applikationsebene. Durch die Einbindung einer WAF können Unternehmen Angriffe abwehren, die auf Web-Applikationen und Programmierschnittstellen (API) abzielen.
WAF schützen Unternehmen zwar nicht vor allen digitalen Bedrohungen, aber sie bekämpfen diejenigen, die auf die Applikationsebene abzielen, darunter die OWASP Top 10-Applikationsschwachstellen. Beispiele dafür sind:
- Cross-Site-Scripting (XSS): Ein Angriff durch Code-Injection, bei dem ein Angreifer bösartigen Code in eine reguläre Website einbringt. Der Code wird dann als infiziertes Skript im Webbrowser des Benutzers gestartet und ermöglicht es dem Angreifer, vertrauliche Informationen zu stehlen oder sich als der entsprechende Benutzer auszugeben.
- DDoS-Angriffe auf Anwendungsebene: Ein volumetrischer DoS- oder DDoS-Angriff, der sich auf die Applikationsebene konzentriert. Gängige Beispiele sind HTTP/S Floods, SSL-Angriffe, Low-and-Slow-Angriffe und Brute-Force-Angriffe.
- SQL-Injection: Ein SQL-Injection-Angriff ähnelt XSS, da die Angreifer eine bekannte Schwachstelle ausnutzen, um bösartige SQL-Anweisungen in eine Applikation einzuspeisen. So können Hacker dann Informationen extrahieren, verändern oder löschen.
- Zero-Day-Angriffe: Ein Zero-Day-Angriff liegt vor, wenn ein Hacker eine noch unbekannte Sicherheitslücke oder einen Softwarefehler ausnutzt, bevor der Softwareentwickler einen Patch veröffentlicht hat.
According to Quadrant Knowledge Solutions’ research, the following are key market drivers for WAF:
- WAF providers wanting to improve their offerings are integrating their products with security information and event management (SIEM) systems, application security testing (AST) and web access management (WAM).
- Vendors are providing WAF solutions that are based on a positive security model and use a machine learning algorithm to analyze HTTP requests.
- Thanks to the increase in IoT devices, it’s likely organizations will invest in WAF solutions to comply with data privacy norms, including IoT-specific features such as device fingerprinting and protocol validation.
- Enterprises are seeking enhanced threat intelligence, extended WAF protection and a variety of out-of-the box integrations.
- There’s a focus on new detection methods to prevent web attacks and minimize false positives.
Radwares Produkte und Dienstleistungen