Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Perimeter Security Glossar

WAF (Web Application Firewall)

Spezialisierte Firewall für HTTP/HTTPS-Traffic, die Web-Anwendungen vor Angriffen wie SQL Injection, XSS und OWASP Top 10 schützt. Analysiert Anfragen auf Anwendungsebene (Layer 7) - deutlich tiefer als klassische Netzwerkfirewalls.

Eine Web Application Firewall (WAF) sitzt vor einer Web-Applikation und filtert eingehende HTTP/HTTPS-Anfragen. Anders als eine Netzwerk-Firewall die nur IP-Adressen und Ports prüft, analysiert eine WAF den vollständigen Inhalt von Webanfragen - URLs, Query-Parameter, HTTP-Headers, Request-Body - auf Angriffsmuster.

WAF vs. Netzwerk-Firewall

MerkmalNetzwerk-FirewallWAF
OSI-LayerLayer 3-4Layer 7
AnalysiertIP, Port, ProtokollHTTP-Inhalt, Payload
ErkenntPort-Scans, IP-BlacklistsSQL Injection, XSS, CSRF
Performance-ImpactMinimalSpürbar (Inspection-Overhead)
PlatzierungNetzwerk-PerimeterDirekt vor App/API

Wichtig: Eine WAF ersetzt keine Netzwerk-Firewall - sie ergänzt sie.

Was eine WAF erkennt (und blockiert)

OWASP Top 10 Schutz

  • SQL Injection - ' OR '1'='1 in Eingabefeldern
  • Cross-Site Scripting (XSS) - <script>alert('xss')</script> in URLs
  • CSRF - Token-Validierung
  • Path Traversal - ../../etc/passwd in Pfadparametern
  • Server-Side Request Forgery (SSRF) - Interne Netzwerkzugriffe
  • Security Misconfiguration - Bekannte Admin-Endpoints

DDoS-Schutz auf Layer 7

  • Rate Limiting: Max. X Anfragen/Sekunde pro IP
  • Bot-Erkennung: User-Agent-Analyse, JavaScript-Challenge, CAPTCHA
  • Schutz vor Application-Layer DDoS (z.B. HTTP-Floods)

API Security

Moderne WAFs (WAAP - Web Application and API Protection) schützen auch REST/GraphQL APIs:

  • Schema Validation: Nur erwartete JSON-Strukturen akzeptieren
  • Rate Limiting pro API-Endpoint und API-Key
  • Erkennung von Scraping und Data Exfiltration

WAF-Betriebsmodi

Detection Mode (Lern-/Monitoring-Modus)

WAF protokolliert Regelverstöße, blockiert aber nicht. Sinnvoll für:

  • Initiales Deployment (Falsch-Positiv-Rate prüfen)
  • Baseline lernen (ML-basierte WAFs)

Prevention Mode (Blocking-Modus)

Angriffe werden in Echtzeit blockiert. Standard im Produktivbetrieb.

Hybrid

Bestimmte Regelsets im Block-Modus, neue Regeln zuerst im Detection-Modus.

WAF-Typen

Cloud WAF (CDN-integriert)

  • AWS WAF (CloudFront/ALB)
  • Azure Front Door WAF
  • Cloudflare WAF
  • Fastly Next-Gen WAF (ehem. Signal Sciences)

Vorteile: Einfaches Setup, globales Scrubbing, keine eigene Hardware. Nachteile: Daten fließen durch Drittanbieter, weniger Konfigurierbarkeit.

Software WAF (selbst betrieben)

  • ModSecurity (Open Source, nginx/Apache)
  • NAXSI (nginx, blocklist-basiert)
  • Shadow Daemon (PHP-fokussiert)

Mit OWASP ModSecurity Core Rule Set (CRS) - kostenloses Regelwerk das OWASP Top 10 abdeckt.

# ModSecurity in nginx (minimale Konfiguration)
load_module modules/ngx_http_modsecurity_module.so;
modsecurity on;
modsecurity_rules_file /etc/nginx/modsec/main.conf;

Hardware WAF (Appliance)

  • Barracuda Web Application Firewall
  • F5 BIG-IP ASM
  • Imperva (Incapsula)

Für Hochsicherheitsumgebungen mit Compliance-Anforderungen an Datenverbleib.

Grenzen der WAF

Eine WAF ist kein Allheilmittel:

Kein Schutz vor:

  • Logik-Schwachstellen (Insecure Direct Object Reference, Business Logic Bugs)
  • Authentifizierungsfehlern (schwache Passwörter, fehlende MFA)
  • Supply-Chain-Angriffen (kompromittierte Libraries)
  • Insider-Threats (legitime Benutzer, die Daten stehlen)
  • Schwachstellen die “normaler” Traffic triggern

False Positives: Eine schlecht konfigurierte WAF kann legitime Nutzer blockieren - z.B. CMS-Administratoren die HTML-Code eintippen.

WAF und Penetrationstests

Ein Penetrationstest auf eine WAF-geschützte Anwendung umfasst:

  1. WAF-Erkennung: Identifikation des WAF-Typs via Fingerprinting
  2. Bypass-Techniken: URL-Encoding, Groß-/Kleinschreibung, Zeichensatz-Tricks, Chunked Encoding
  3. Out-of-Band-Angriffe: DNS-basierte Exfiltration die WAF-Regeln umgeht
  4. Backend-Zugang: Direkter Zugang zum Origin-Server (WAF bypassed)

Eine WAF erhöht die Angriffshürde erheblich - ist aber kein Ersatz für sichere Programmierung.

Compliance

PCI DSS 6.4: WAF als explizite Anforderung für alle Systeme die Karteninhaberdaten verarbeiten - oder Code Review + Schwachstellenbehebung als Alternative.

ISO 27001 A.8.22: Trennung von Netzwerken, Schutz von Webdiensten.

BSI IT-Grundschutz APP.3.2: Webserver-Sicherheit, WAF als empfohlene Maßnahme.

AWARE7 Leistungen zum Thema

Penetrationstest Web-Applikationen ISO 27001 Beratung

Ausführlicher Wiki-Artikel

Cloud Security: Sicherheit in AWS, Azure und GCP - Der komplette Guide

22 min Lesezeit

Netzwerksicherheit: Architekturen, Technologien und Best Practices

14 min Lesezeit

Penetrationstest (Pentest)

8 Min. Lesezeit

Schwachstellenmanagement: Der vollständige Leitfaden

13 min Lesezeit

Verwandte Begriffe

DDoS (Distributed Denial of Service) Firewall OWASP Top 10 SQL Injection XSS (Cross-Site Scripting)
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung