Was ist eine Web Application Firewall (WAF)? Funktionsweise, Arten und wichtigste Vorteile
Sichere Anwendungsbereitstellung für Webanwendungen ermöglichen
Eine Web Application Firewall (WAF) ist eine spezielle Form der Anwendungs-Firewall, die für die sichere Bereitstellung von HTTP-basierten Anwendungen entwickelt wurde. Mit der zunehmenden Verbreitung dieser Anwendungen haben Unternehmen WAF-Funktionen implementiert, um den Netzwerkverkehr auf der Anwendungsebene zu prüfen, also auf einer detaillierteren Ebene als herkömmliche Netzwerk-Firewalls. Als eigenständiges Hardware- oder Software-Gerät oder über einen Application Delivery Controller (ADC) oder eine Server Load Balancing (SLB)-Lösung eingesetzt, hilft eine WAF, Angriffe zu verhindern, die Schwachstellen wie SQL-Injection, Cross-Site Scripting (XSS), Cross-Site Request Forgery und eine unsachgemäße Systemkonfiguration ausnutzen.

Wichtigste Erkenntnisse
- Eine Web Application Firewall (WAF) überprüft und filtert den HTTP-Datenverkehr auf Schicht 7 des OSI-Modells, um Webanwendungen vor Bedrohungen wie SQL-Injection, XSS und CSRF zu schützen.
- Im Gegensatz zu herkömmlichen Netzwerk-Firewalls, die auf der Netzwerk- und Transportschicht arbeiten, hat eine WAF vollständigen Einblick in die Inhalte der Anwendungsschicht und das Verhalten der Anfragen.
- WAFs können als eigenständige Hardware- oder Softwarelösung bereitgestellt, in einen ADC integriert oder als cloudbasierter oder verwalteter Dienst angeboten werden.
- WAF-Regeln basieren in der Regel auf Zulassungslisten, Sperrlisten oder Hybridmodellen und orientieren sich häufig an den OWASP Top 10, um die kritischsten Schwachstellen in Webanwendungen zu beheben.
- A10 Networks Thunder integriert ein WAF-Add-on der nächsten Generation, das Sicherheit auf Anwendungsebene, DDoS-Schutz und Server-Lastenausgleich in einer einzigen Lösung vereint
Die Entwicklung der Web Application Firewall
Firewalls sind seit den Anfängen der weit verbreiteten Internet-Konnektivität ein grundlegendes Element der Netzwerksicherheit. Durch die Überwachung des ein- und ausgehenden Datenverkehrs zwischen Systemen oder Netzwerken auf der Grundlage einer Reihe von Regeln ermöglicht eine Firewall einem Unternehmen, das Risiko von Angriffen oder Verstößen zu verringern.
Als Webanwendungen Ende der 1990er Jahre immer verbreiteter wurden und die Angriffe auf Webserver entsprechend zunahmen, führten Sicherheitsanbieter spezielle WAF-Geräte ein, um das mit diesen stärker öffentlich exponierten Anwendungen verbundene Risiko zu verringern. Neben kommerziellen Lösungen wurde 2002 das Open-Source-Projekt ModSecurity von Trustwaves SpiderLabs ins Leben gerufen, um den Zugang sowohl zur WAF-Technologie als auch zu einem Standardsatz von Regeln zum Schutz vor den in der jährlichen Top-10-Liste der Webanwendungs-Schwachstellen des Open Web Application Security Project (OWASP) aufgeführten Bedrohungen zu erweitern. Angesichts der sich weiter verschärfenden Cyberbedrohungslage und der durch Vorschriften wie den Payment Card Industry Data Security Standard (PCI DSS) und die EU-Datenschutz-Grundverordnung (DSGVO) gestiegenen Anforderungen an die Cybersicherheit wird für den WAF-Markt ein Wachstum von 10,13 Milliarden US-Dollar im Jahr 2026 auf 30,86 Milliarden US-Dollar bis zum Jahr 2034 prognostiziert.
Wie sich die WAF in die Anwendungsbereitstellung einfügt
Wie der Name schon sagt, überwacht, filtert und blockiert eine Web Application Firewall Datenpakete auf dem Weg zu und von Webanwendungen. Die WAF kann im Netzwerk, auf dem Host oder in der Cloud vor einer oder mehreren Webanwendungen oder Websites bereitgestellt werden. Obwohl sie theoretisch überall im Datenpfad eingesetzt werden kann, sollte sie optimal hinter der SLB-Schicht ( Server Load Balancing ) und in der Nähe des Anwendungsservers, den sie schützt, positioniert werden.
Im Gegensatz zu Proxies, die die Clients schützen, schützen WAFs den Server selbst und fungieren in der Regel als Reverse Proxy. Die WAF arbeitet auf Schicht 7 des OSI-Modells, der Anwendungsschicht, und prüft und analysiert die Elemente der Datenpakete wie User-Agent, Header, Referrer, Redirects und HTML-Body nach festgelegten Regeln und filtert potenziell schädlichen Datenverkehr heraus, bevor er den Server erreicht.
Kombination von WAF mit Server Load Balancing in einem Application Delivery Controller
Während Web Application Firewall-Lösungen früher in der Regel eigenständige Einzelprodukte waren, werden sie zunehmend in andere Elemente der Anwendungsbereitstellungsinfrastruktur integriert. Die Integration einer WAF in einen Application Delivery Controller hat sich als besonders beliebt und effektiv erwiesen. Der Application Delivery Controller befindet sich in der Regel an der Grenze zwischen dem Rechenzentrum und dem Internet und ist gut positioniert, um neben anderen Funktionen wie DDoS-Schutz, SSL-Offload, Content-Caching und Server-Lastausgleich auch Funktionen zur Überprüfung des Netzwerkverkehrs auf Bedrohungen für Webanwendungen zu hosten.

Thunder ADC und CFW können mit ihrer integrierten WAF Angriffe blockieren, Anfragen mit bösartigem Inhalt säubern und Aktivitäten protokollieren.
Die Vorteile der Kombination von WAF- und ADC-Funktionen können beträchtlich sein. Da ein Application Delivery Controller eine privilegierte Vertrauens- und Aufsichtsposition in der Netzwerktopologie einnimmt, hat er einen vollständigen Überblick über das gesamte OSI-Modell von Layer 2 bis Layer 7 und kann einen Mehrwert schaffen, indem er auch die Rolle einer WAF übernimmt. In einigen Fällen entscheiden sich Unternehmen für einen Load Balancer, um WAF-Funktionen zu implementieren. Umgekehrt kann eine Web Application Firewall auch beim Server-Lastausgleich helfen, indem sie den HTTP-Verkehr prüft, bevor er den Anwendungsserver erreicht. Die umfassendsten Lösungen von next-generation web application firewall können neben dem Server-Lastausgleich auch erweiterte Sicherheitsfunktionen wie Intrusion Prevention und Threat Intelligence umfassen.
Einsatz einer WAF zur Abwehr von Cyberangriffen
Da Zero-Day-Exploits, Malware-Infektionen, Impersonation und andere bekannte und unbekannte Bedrohungen und Schwachstellen Webanwendungen angreifen, sind Unternehmen auf die WAF angewiesen, um die sichere Bereitstellung von Anwendungen für eine zunehmend verteilte Belegschaft zu gewährleisten. Dies betrifft auch Kunden, die öffentlich zugängliche Webanwendungen wie E-Commerce, Online-Banking, Telemedizin und Streaming Media nutzen.
Zu den wichtigsten Bedrohungen, die von einer WAF abgewehrt werden können, gehören:
- SQL-Injection-Angriffe, bei denen über ein Webformular SQL-Befehle oder Befehle, die SQL-Sonderzeichen enthalten, an die Backend-SQL-Datenbank gesendet werden, so dass unbefugte Benutzer auf sensible Unternehmensdaten zugreifen, Datenbankdaten ändern und Verwaltungsvorgänge in der Datenbank ausführen können
- Cross-Site-Scripting (XSS ), bei dem ein Webserver Daten, die von einer anderen Website kommen, nicht validiert, so dass der Angreifer sensible Informationen erhalten oder den Server anderweitig gefährden kann
- Gefährdung sensibler Daten, wenn unzureichend gesicherte Webanwendungen es Angreifern ermöglichen, persönlich identifizierbare Informationen (PII), geschützte Gesundheitsinformationen (PHI) und andere sensible oder regulierte Daten zu exfiltrieren
- Cross-Site-Request-Forgery-Angriffe, bei denen eine betrügerische HTTP-Anfrage eines Benutzers, einschließlich des Sitzungs-Cookies des Opfers, an eine anfällige Webanwendung gesendet wird, um die Daten des Opfers zu stehlen, sein Konto zu kapern oder andere illegale Funktionen auszuführen
- Pufferüberlauf-Angriffe, bei denen ein Hacker einen Codierungsfehler manipuliert, um Fragmente des Prozessspeichers einer Anwendung zu überschreiben und Ausnahmen und andere Fehler zu verursachen, die die Sicherheit der Anwendung untergraben
Eine WAF kann eine Schwachstelle in einer Webanwendung auf verschiedene Weise vor Cyberangriffen schützen. HTTP-Inhalte können durch Whitelisting, Blacklisting oder eine Kombination aus beidem gefiltert werden, wobei Informationen über bekanntermaßen bösartige oder sichere IP-Adressen verwendet werden, um zu bestimmen, welche Pakete an den Webanwendungsserver weitergeleitet werden sollen. Um Pufferüberlauf-Angriffe zu verhindern, kann eine WAF akzeptierte Höchstwerte für Aspekte von HTTP-Anfragen festlegen und Anfragen blockieren, die diese Grenzen überschreiten. Um andere Arten von Bedrohungen abzuwehren, kann die WAF HTTP-Antwort-Header entfernen, um die Webserver-Informationen zu verbergen, die für einen wirksamen Angriff benötigt werden.
Web Application Firewalls spielten eine wichtige Rolle bei der Entschärfung der Log4j-Schwachstelle. Schon bald nach Bekanntwerden der Log4J-Schwachstelle am 10. Dezember 2021 veröffentlichten Anbieter von Netzwerksicherheitslösungen Präventionssignaturen, mit denen WAFs nach Log4j-Exploits suchen und diese blockieren können. In vielen Fällen wurden die WAF-Regeln von den Anbietern automatisch aktualisiert, was dazu beitrug, das Risiko angesichts einer wahrhaft historischen Cybersecurity-Krise zu verringern.
Obwohl die Web Application Firewall eine wichtige Rolle bei der Cybersicherheit spielt, ist es wichtig zu wissen, dass eine WAF nicht als vollständige Sicherheitslösung gedacht oder konzipiert ist. Stattdessen arbeitet sie zusammen mit anderen Elementen des Perimeter-Sicherheitsstapels als Teil einer mehrschichtigen Strategie zur Erkennung, Verhinderung und Entschärfung von Cyber-Bedrohungen.
WAF und die OWASP Top 10
Im Wesentlichen besteht das Ziel einer WAF darin, die Anwendungen zu schützen. Während sie ursprünglich zum Schutz vor Angriffen auf der Anwendungsebene konzipiert wurde, hat sich die heutige Bedrohungslandschaft auf API-Angriffe, bösartige Bots und Layer-7-DDoS-Angriffe ausgeweitet – allesamt Angriffe, die auf Anwendungen abzielen. Eine WAF allein reicht nicht mehr aus, eine Webanwendungs-Schutzplattform (WAPP) erforderlich. Obwohl sich die Anwendungssicherheit über die traditionelle WAF hinaus weiterentwickelt hat, sind WAFs nach wie vor eine bewährte und wirksame Abwehr gegen die OWASP Top-10-Angriffe auf Anwendungsebene, wie beispielsweise SQL-Injection, Cross-Site-Scripting und andere.
Wie A10 Networks die Funktionalität einer Web Application Firewall (WAF) bereitstellt
A10 Thunder® Application Delivery Controllers (ADCs) beinhalten ein next-generation web application firewall Add-on, A10 Next-Gen WAF, powered by Fastly. Diese WAF bietet intelligente, automatisierte und umfassende Sicherheit auf der Anwendungsebene, um Injektionsangriffe, Kontoübernahmen und andere in den OWASP Top 10 aufgeführte Bedrohungen zu stoppen und gleichzeitig verschiedene Compliance-Standards wie GDPR, HIPAA und andere einzuhalten. Darüber hinaus ist ein integrierter DDoS-Schutz für die Server verfügbar, die der ADC verwaltet und an die der Datenverkehr weitergeleitet wird, wodurch eine umfassendere Sicherheitslösung am primären Eingangspunkt des Netzwerks geschaffen wird.
Als Proxy vor Webservern eingesetzt, prüft Thunder ADC Webanfragen und -antworten und kann bösartige Aktivitäten blockieren, säubern oder protokollieren. Thunder ADC wurde entwickelt, um viele der heutigen Bedrohungen zu erkennen, und bietet darüber hinaus die Flexibilität, die Prüfungen für neue Bedrohungen anzupassen. Durch die Bereitstellung eines integrierten next-gen WAF, ADC, integriertem DDoS-Schutz und Server Load Balancing (SLB)-Funktionalität bietet Thunder ADC eine hoch skalierbare Sicherheitslösung mit hoher Leistung, einfacher Konfiguration und Verwaltung und niedrigen Gesamtbetriebskosten.
Häufig gestellte Fragen
Eine WAF ist eine spezielle Firewall, die für die sichere Bereitstellung von HTTP-basierten Anwendungen entwickelt wurde. Sie überprüft den Netzwerkverkehr auf der Anwendungsebene.
WAF arbeitet auf der Anwendungsebene und nicht auf der Netzwerkeebene.
Es schützt vor SQL-Injection, XSS und anderen Sicherheitslücken in Anwendungen, die zu den OWASP Top 10 gehören.
WAF-Regeln basieren in der Regel auf Zulassungslisten, Sperrlisten oder Hybridmodellen und orientieren sich häufig an den OWASP Top 10, um die kritischsten Schwachstellen in Webanwendungen zu beheben.