Kemp Technologies Blogs

Border Firewalls und Web Application Firewalls – Brauche ich beides?

Rochelle Wheeler | Posted on | Application Security | Load Balancer | LoadMaster

Um es gleich vorweg zu nehmen: Die Antwort lautet ja! Wenn Sie Apps und andere Dienste über das Internet zur Verfügung stellen, brauchen Sie beides. Netzwerk-Firewalls helfen Ihnen, die Grenzen Ihres Netzwerks zu schützen, und Web Application Firewalls (WAFs) bieten zusätzlichen Sicherheitsschutz für die Anwendungsserver, die Ihre Webanwendungen für die Nutzer bereitstellen.

Netzwerk-Firewalls schützen die ein- und ausgehenden Verbindungen in Ihrem Netzwerk. Unternehmen müssen eine vielschichtige und mehrstufige Sicherheitsstrategie einführen. WAFs bieten konkrete Sicherheitsfunktionen für verschiedene Webanwendungen und sind Teil einer umfassenderen Sicherheitsstrategie, die angesichts der aktuellen Gefahren erforderlich ist.

Abgesehen von Firewalls und WAFs werden auch andere Cybersecurity-Komponenten und -Techniken eingesetzt, darunter Intrusion Detection Systeme (IDS), Network Detection and Response (NDR)-Lösungen, Security Event and Information (SEIM)-Systeme, Identitäts- und Authentifizierungsmanagement (IAM), Zero Trust Network Access (ZTNA) uvm. 

In diesem Blog gehen wir darauf ein, was Netzwerk-Firewalls und WAFs leisten und wie WAFs Netzwerk-Firewalls ergänzen, ohne den Bedarf dieser überflüssig zu machen.

Was ist eine Firewall?

Firewalls sind spezielle Sicherheitseinrichtungen, die an den Netzwerkgrenzen sitzen und den eingehenden (Ingress) und ausgehenden (Egress) Netzwerkverkehr kontrollieren. Sie können den Datenverkehr zwischen internen Netzwerken und dem Internet, oder zwischen separaten Netzwerksegmenten innerhalb einer Organisation vermitteln.

Darüber hinaus dienen Firewalls als oberster Schutzmechanismus für das Netzwerk und wenden Regeln an, um den Netzwerkverkehr zu überwachen. Durch Überwachen und Filtern des Netzwerkverkehrs auf Grundlage vorkonfigurierter Richtlinien kann eine Firewall bestimmte Verkehrsströme basierend auf verschiedenen Attributen wie Ausgangs- und Ziel-IP-Adressen, Ports, Protokollen oder anderen Merkmalen zulassen oder blockieren.

Arten von Firewalls

Es gibt verschiedene Arten von Firewalls: Hardware-Firewalls (physische Geräte), Software-Firewalls (auf Servern oder Geräten installiert) und Cloud-basierte Firewalls. Firewalls werden danach klassifiziert, wie sie den Datenverkehr filtern, und dabei gibt es die folgenden zwei Arten der vom Filtern:

    1. Der Paketfilter - Firewalls, die diese Methode verwenden, haben die gleiche FUnktion wie ein Türsteher in einem Nachtclub. Sie überprüfen bestimmte Identifizierungsmerkmale von Netzwerkanfragen, z. B. IP-Adressen, bevor sie den Datenverkehr zulassen oder blockieren (genauso wie ein Türsteher, der das Alter einer Person anhand des Ausweises überprüft).
    2. Zustandsorientierte Paketüberprüfung - Zustandorientierte-Firewalls überwachen regelmäßig den Zustand der Netzwerkverbindungen. Sie führen eine Tabelle mit allen aktiven Verbindungen, die durch die Firewall laufen. Zustandsorientierte-Firewalls analysieren den Kontext und die Statusinformationen eines jedes Pakets innerhalb der Verbindung. Sie können Ports auf der Grundlage des Verbindungsstatus dynamisch öffnen und schließen, ganze Kommunikationsströme auf böswillige Inhalte untersuchen und die Sitzungsüberwachung aufrechterhalten, um Angriffe wie Session Hijacking zu erkennen (Das unbemerkte Einklinken von Cyber-Kriminellen in eine Kommunikation und Mitlesen von Informationen). Insgesamt bieten Zustandorientierte-Firewalls eine präzisere Überwachung und Sicherheit als eine einfache Paketfilterung, da sie den Kontext des Netzwerkverkehrs berücksichtigen.

    Zusammenfassend lässt sich sagen, dass eine Firewall die erste Verteidigungslinie gegen eingehende Bedrohungen in einem mehrschichtigen Sicherheitskonzept ist, was sie zu einer grundlegenden Komponente der Netzwerksicherheit macht. Ihre Hauptfunktion besteht darin, nur autorisierten Datenverkehr zuzulassen und unautorisierten Zugriff zu blockieren.

    Was ist eine Web Application Firewall?

    Eine WAF ist eine zusätzliche Sicherheitslösung, die den Schutz von Webanwendungen vor verschiedenen Angriffsarten und Bedrohungen erhöht. Im Gegensatz zu den oben beschriebenen herkömmlichen Netzwerk-Firewalls, die auf der Netzwerk- und Transportschicht (Schicht 3 und 4 des OSI-Modells) arbeiten, arbeitet eine WAF auch auf der Anwendungsschicht (Schicht 7) und konzentriert sich auf den HTTP/HTTPS-Datenverkehr.

    Eine WAF überwacht, filtert und blockiert in erster Linie Webverkehr, der als Bedrohung für Webanwendungen eingestuft wird. Sie überprüft eingehende Anfragen und wendet eine Reihe von Regeln und Richtlinien an, um häufige Schwachstellen und Angriffe auf Webanwendungen zu erkennen und zu verhindern, wie z.B. diejenigen, die in den OWASP Top Ten beschrieben sind.

    Ähnlich wie Netzwerk-Firewalls kann eine WAF über physische Geräte, virtuelle Maschinen oder die Cloud, bereitgestellt werden. Das WAF-Add-on für Kemp LoadMaster ist über all diese Methoden einsetzbar.

    WAFs unterstützen in der Regel mehrere Techniken zur Überwachung und Filterung des zu Webanwendungsservern laufenden Datenverkehrs. Zu diesen Techniken gehören:

    1. Signaturbasierte Erkennung - WAFs verwenden Regeln und Listen mit bekannten Angriffsmustern, um gefährdende Aktivitäten zu identifizieren.
    2. Anomalie-basierte Erkennung - Die WAF zeichnet eine festgelegte Grundstruktur von regelmäßigen Netzwerkaktivitäten auf. Wenn es Abweichungen von dieser Baseline feststellt, ergreift es Maßnahmen, um gefährliche Aktivitäten zu stoppen. Auf der Progress Flowmon ADS-Website finden Sie eine von Progress entwickelte Lösung, die diese Abwehrmethode auf das nächste Level bringt.
    3. Sicherheitsmodelle - WAFs können sowohl Negativ- (blockieren) als auch Positivlisten (zulassen) verwenden, um den Datenverkehr zu Webanwendungen zu regulieren.
    Neben dem Schutz vor Angriffen auf Webanwendungen bieten WAFs oft auch zusätzliche Funktionen, wie zum Beispiel die Verhinderung von Bot-Angriffen, DDoS-Schutz, API-Sicherheit und die Einbindung in andere Sicherheitslösungen, wie SIEM-Systeme.

    WAFs sind ein wesentlicher Bestandteil einer umfassenden Sicherheitsstrategie zum Schutz webbasierter Anwendungen. Sie bieten eine zusätzliche Schutzebene gegen Cyber-Bedrohungen, die auf die Anwendungsebene abzielen.

    Wie erweitert eine WAF die Sicherheitsvorkehrungen?

    WAFs erweitern die Sicherheitsvorkehrungen auf verschiedene Art und Weise. Wie bereits erwähnt, lassen sich WAFs am besten als Teil einer umfassenden Cybersecurity-Strategie einsetzen, welche widerrum auch Netzwerk-Firewalls und die anderen zuvor genannten Technologien mit einschließt. Es sei nochmals darauf hingewiesen, dass WAFs herkömmliche Netzwerk-Firewalls nicht ersetzen. Vielmehr ergänzen und verbessern sie die von den vorhandenen Tools gebotene Sicherheit, indem sie eine zusätzliche Sicherheitsebene schaffen und den Netzwerkverkehr auf unterschiedliche und zusätzliche Weise überprüfen.

    Durch das Einsetzen von WAFs wird folgendes den Sicherheitsmaßnahmen hinzugefügt:

    Schutz für Webanwendungen - WAFs fungieren als letzte Verteidigungslinie für Webanwendungen und Webserver. Sie sitzen zwischen den Endgeräten der Nutzer und den Webanwendungsservern und überwachen den Webverkehr, um Sicherheitsprobleme zu erkennen, bevor sie sich auf die Anwendungen auswirken können.

    Verbesserte Sicherheitsvorkehrungen - WAFs erkennen, wie der Webverkehr die HTTP/HTTPS-Protokolle verwendet. Daher können sie Netzwerkpakete auf potenzielle Bedrohungen hin untersuchen und Angriffsversuche verhindern, die von herkömmlichen Netzwerk-Firewalls nicht erkannt werden.

    WAFs spielen eine grundlegende Rolle in einer ganzheitlichen Cybersecurity-Strategie. Durch die Einbindung von WAFs in andere Sicherheitsmaßnahmen entsteht ein mehrschichtiger Schutz, der zahlreiche Cyber-Bedrohungen abwehrt.

    Fazit

    Wie bereits erwähnt, sollten WAFs zusammen mit anderen Sicherheitslösungen und -techniken zum Schutz vor Cyberangriffen eingesetzt werden. Dazu gehören Netzwerk-Firewalls, Intrusion-Detection-Systeme, Netzwerkerkennungs- und Reaktionslösungen, Sicherheitsereignis- und Informationssysteme, Identitäts- und Authentifizierungsmanagement, vertrauensfreier Netzwerkzugang und vieles mehr.

    Durch die Einführung eines mehrschichtigen Sicherheitsansatzes können Unternehmen die Risiken einer gefährdeten Schutzschicht reduzieren, da andere Sicherheitsschichten bereits vorhanden sind. Da sich Cyber-Bedrohungen ständig fortentwickeln, ist der Einsatz von WAFs ein unerlässliches Instrument für die Cybersicherheitsstrategie Ihres Unternehmens.

    WAF in Kombination mit LoadMaster, der Load Balancer von Progress

    LoadMaster WAF kann in einer solchen Strategie eine zentrale Rolle spielen, da es auf ModSecurity, einer branchenführenden Technologie, basiert und von Open-Source-Regelsätzen und einem kommerziellen Regel-Abonnement-Service unterstützt wird.

    LoadMaster WAF nutzt alle Vorteile der verfügbaren flexiblen Lizenzierungsmodelle. Durch den Einsatz von LoadMaster Instanzen in Kombination mit WAF, über unser Metered Licensing, wird ermöglicht, die WAF so zu platzieren, dass die individuellen Anwendungsbereitstellungs- und Sicherheitsanforderungen Ihres Unternehmens erfüllt werden.

    Weitere Informationen und wie Sie LoadMaster in Kombination mit WAF 30 Tage lang kostenlos testen können, finden Sie auf unserer Seite zur Web Application Firewall-Lösung.