Skip to content Skip to navigation Skip to footer

Diese Unterschiede zwischen WAF und einer Firewall sollten Sie kennen

Kontakt 

In der heutigen Zeit ausgeklügelter Cyber-Angriffe und digitaler Innovationen ist es für Unternehmen von entscheidender Bedeutung, die Bedrohungen zu verstehen, denen sie ausgesetzt sind und wovor ihre Sicherheitsmaßnahmen sie schützen. Dies gilt insbesondere für Firewalls, da Web Application Firewalls (WAF) und Netzwerk-Firewalls Unternehmen vor verschiedenen Arten von Angriffen schützen. Daher ist es wichtig zu verstehen, wie sich eine Netzwerk-Firewall von einer Anwendungs-Firewall unterscheidet und wie sich Webangriffe und umfassendere Netzwerkangriffe verhindern lassen.

Bislang haben Unternehmen ihre Daten und Benutzer mit Netzwerk-Firewalls geschützt, denen die Flexibilität und Transparenz zum Schutz vor modernen Sicherheitsbedrohungen fehlt. Aber angesichts der zunehmenden Verbreitung von Bring Your Own Device (BYOD), Public Cloud und Software-as-a-Service (SaaS)-Lösungen müssen sie ihre Sicherheitsstrategie um eine WAF (Web Application Firewall) erweitern. Dies erhöht den Schutz vor Angriffen gegen Web-Anwendungen, die auf einem Remote-Server gespeichert sind, über das Internet über eine Browser-Schnittstelle bereitgestellt werden und ein attraktives Ziel für Hacker darstellen.

 

Der Unterschied zwischen Firewalls auf Anwendungs- und Netzwerkebene

Eine WAF schützt Web-Anwendungen durch die gezielte Überwachung des Hypertext Transfer Protocol (HTTP)-Datenverkehrs. Damit unterscheidet sie sich von einer Standard-Firewall, die eine Barriere zwischen externen und internen Netzwerkverkehr bildet.

Eine WAF wird zwischen externen Benutzern und Web-Anwendungen geschaltet, um die gesamte HTTP-Kommunikation zu analysieren. Sie erkennt und blockiert dann bösartige Anfragen, bevor sie Benutzer oder Web-Anwendungen erreichen. WAFs schützen somit geschäftskritische Web-Anwendungen und Webserver vor Zero-Day-Bedrohungen und anderen Angriffen auf Anwendungsebene. Dies wird immer wichtiger, da Unternehmen neue digitale Initiativen lancieren, die neue Web-Anwendungen und APIs (Application Programming Interfaces) anfällig für Angriffe machen können.

Eine Netzwerk-Firewall schützt ein gesichertes lokales Netzwerk (LAN) vor unbefugtem Zugriff, um das Risiko von Angriffen zu vermeiden. Das Hauptziel dabei ist es, eine gesicherte Zone von einer weniger sicheren Zone zu trennen und die Kommunikation zwischen den beiden zu kontrollieren. Ohne sie ist jeder Computer mit einer öffentlichen Internet Protocol (IP)-Adresse außerhalb des Netzwerks zugänglich und potenziell angreifbar.

Diagramm Web Application Firewall vs. Netzwerk-Firewall

Anwendungsverkehr vs. Netzwerkverkehr

Herkömmliche Netzwerk-Firewalls vermindern oder verhindern den unbefugten Zugriff auf private Netzwerke. Firewall-Richtlinien definieren den im Netzwerk zulässigen Datenverkehr. Alle anderen Zugriffsversuche werden blockiert. Beispiele für Netzwerkverkehr, der dadurch verhindert wird, sind nicht autorisierte Benutzer und Angriffe von Benutzern oder Geräten in weniger sicheren Zonen.

Eine WAF zielt speziell auf den Anwendungsverkehr ab. Sie schützt HTTP- und Hypertext Transfer Protocol Secure (HTTPS)-Datenverkehr und -Anwendungen in mit dem Internet verbundenen Zonen des Netzwerks. Dies schützt Unternehmen vor Bedrohungen wie Cross-Site Scripting (XSS)-Angriffen, verteilten Denial of Service (DDoS)-Angriffen und SQL-Injection-Angriffen.

Schutz auf Layer 7 vs. Layer 3 und 4

Der wichtigste Vorteil bzw. technische Unterschied zwischen einer Firewall auf Anwendungsebene und einer Firewall auf Netzwerkebene ist die Sicherheitsebene, auf der sie arbeiten. Diese werden durch das Open Systems Interconnection (OSI)-Modell definiert, das Kommunikationsfunktionen innerhalb von Telekommunikations- und Computersystemen charakterisiert und standardisiert. 

WAFs schützen vor Angriffen auf Layer 7 des OSI-Modells, das ist die Anwendungsebene. Dazu gehören Angriffe auf Anwendungen wie Ajax, ActiveX und JavaScript sowie Cookie-Manipulation, SQL-Injection und URL-Angriffe. Sie zielen auch auf die Web-Anwendungsprotokolle HTTP und HTTPS ab, die zum Verbinden von Webbrowsern und Webservern verwendet werden. 

Ein DDoS-Angriff auf Layer 7 beispielsweise sendet eine Flut von Datenverkehr an die Serverschicht, auf der Webseiten generiert und als Reaktion auf HTTP-Anfragen bereitgestellt werden. Eine WAF fängt dies ab, indem sie als Reverse-Proxy fungiert, der den anvisierten Server vor bösartigem Datenverkehr schützt und Anfragen filtert, um die Verwendung von DDoS-Tools zu erkennen. 

Netzwerk-Firewalls arbeiten auf Layer 3 und 4 des OSI-Modells, die die Datenübertragung und den Netzwerkverkehr schützen. Dazu gehören Angriffe auf das Domain Name System (DNS) und das File Transfer Protocol (FTP) sowie Simple Mail Transfer Protocol (SMTP), Secure Shell (SSH) und Telnet.

Webangriffe vs. unbefugter Zugriff

WAF-Lösungen schützen Unternehmen vor webbasierten Angriffen, die auf Anwendungen abzielen. Ohne eine Anwendungs-Firewall könnten Hacker das breitere Netzwerk durch Schwachstellen in Web-Anwendungen infiltrieren. WAFs schützen Unternehmen vor gängigen Webangriffen wie:

  • Direkter Denial of Service: Ein Versuch, ein Netzwerk, einen Dienst oder einen Server dadurch zu stören, dass er durch eine Flut von Internet-Traffic überwältigt wird. Dieser Angriff zielt darauf ab, die Ressourcen seines Ziels zu erschöpfen, und kann schwierig zu verteidigen sein, da der Datenverkehr nicht immer offensichtlich bösartig ist.
  • SQL-Injection: Eine Art von Einschleusungsangriff, der es Hackern ermöglicht, bösartige SQL-Anweisungen auszuführen, die den Datenbankserver hinter einer Web-Anwendung steuern. Auf diese Weise können Angreifer die Authentifizierung und Autorisierung einer Webseite umgehen und den Inhalt der SQL-Datenbank abrufen, um Datensätze hinzuzufügen, zu ändern oder zu löschen. Cyber-Kriminelle können eine SQL-Injection verwenden, um auf Kundeninformationen, personenbezogene Daten und geistiges Eigentum zuzugreifen. Sie wurde 2017 in den OWASP Top 10 als die Bedrohung Nummer eins für die Sicherheit von Web-Anwendungen eingestuft.
  • Cross-Site Scripting (XSS): Eine Web-Security-Schwachstelle, die es Angreifern ermöglicht, Benutzerinteraktionen mit Anwendungen zu kompromittieren. XXS ermöglicht es dem Angreifer, die Same-Origin-Richtlinie zu umgehen, die Websites unterschiedlicher Herkunft abschottet. Infolgedessen kann sich der Angreifer als echter Benutzer ausgeben und auf die Daten und Ressourcen zugreifen, für die er eine Berechtigung hat. 

Netzwerk-Firewalls schützen vor unbefugtem Zugriff und Datenverkehr, der in das und aus dem Netzwerk fließt. Sie schützen vor netzwerkweiten Angriffen gegen Geräte und Systeme, die mit dem Internet verbunden sind. Beispiele für häufig verwendete Netzwerkangriffe sind:

  • Unbefugter Zugriff: Angreifer, die ohne Berechtigung auf ein Netzwerk zugreifen. In der Regel geschieht dies durch den Diebstahl von Zugangsdaten und durch kompromittierte Konten, die durch die Verwendung schwacher Passwörter, Social Engineering und Insider-Bedrohungen entstehen.
  • Man-in-the-middle (MITM)-Angriffe: Angreifer fangen den Datenverkehr entweder zwischen dem Netzwerk und externen Standorten oder innerhalb des Netzwerks selbst ab. Häufig sind unsichere Kommunikationsprotokolle die Ursache, die es Angreifern ermöglichen, Daten während der Übertragung zu stehlen und damit an Benutzeranmeldeinformationen zu gelangen und Benutzerkonten zu kapern.
  • Rechteausweitung: Angreifer erhalten Zugriff auf ein Netzwerk und nutzen dann die Rechteausweitung, um ihre Reichweite tiefer in das System auszudehnen. Sie können dies horizontal tun, wodurch sie Zugang zu benachbarten Systemen erhalten, oder vertikal, indem sie innerhalb desselben Systems höhere Rechte erlangen.

Auswahl einer Anwendungs- oder Netzwerk-Firewall

Standard-Netzwerk-Firewalls und WAFs schützen vor verschiedenen Arten von Bedrohungen, daher ist es wichtig, die richtige Firewall zu wählen. Eine Netzwerk-Firewall allein schützt Unternehmen nicht vor Angriffen auf Webseiten, die nur durch WAF-Funktionen verhindert werden können. Ohne eine Anwendungs-Firewall könnten Unternehmen also ihr breiteres Netzwerk durch Anwendungsschwachstellen Angriffen aussetzen. Eine WAF kann jedoch nicht vor Angriffen auf der Netzwerkebene schützen, daher sollte sie eine Netzwerk-Firewall eher ergänzen und nicht ersetzen. 

Sowohl webbasierte als auch Netzwerklösungen arbeiten auf verschiedenen Ebenen und schützen vor unterschiedlichen Arten von Datenverkehr. Anstatt also zu konkurrieren, ergänzen sie sich. Eine Netzwerk-Firewall schützt in der Regel ein breiteres Spektrum an Datenverkehrstypen, während sich eine WAF mit einer spezifischen Bedrohung befasst, die der traditionelle Ansatz nicht abdecken kann. Daher ist es ratsam, beide Lösungen zu haben, vor allem, wenn die Betriebssysteme eines Unternehmens eng mit dem Internet zusammenarbeiten.

Die Herausforderung besteht also weniger darin, sich für die eine oder die andere Lösung zu entscheiden, sondern eher darin, das richtige WAF-System auszuwählen, das den Anforderungen des Unternehmens am besten entspricht. Die WAF sollte über einen Hardware-Beschleuniger verfügen, den Datenverkehr überwachen und böswillige Versuche blockieren, hochgradig verfügbar und skalierbar sein, damit die Leistung bei wachsendem Unternehmen aufrechterhalten bleibt.

Next-Generation Firewall vs. WAF und Netzwerk-Firewalls

Die Anschaffung separater Firewall-Produkte zum Schutz aller Sicherheitsebenen ist teuer und umständlich. Aus diesem Grund entscheiden sich Unternehmen für umfassende Lösungen wie von Gartner empfohlene Next Generation Firewalls (NGFWs). NGFWs kombinieren in der Regel die Fähigkeiten von Netzwerk-Firewalls und WAFs in einem zentral verwalteten System. Sie bieten außerdem zusätzlichen Kontext für Sicherheitsrichtlinien, was für den Schutz von Unternehmen vor modernen Sicherheitsbedrohungen unerlässlich ist. 

NGFWs sind kontextbasierte Systeme, die Informationen wie Identität, Zeit und Standort verwenden, um zu bestätigen, dass ein Benutzer tatsächlich derjenige ist, der er zu sein vorgibt. Dank dieser zusätzlichen Einsicht können Unternehmen fundiertere, intelligentere Entscheidungen über den Benutzerzugriff treffen. Sie umfassen auch Funktionen wie Antivirus, Anti-Malware, Intrusion-Prevention-Systeme und URL-Filterung. Dies vereinfacht und verbessert die Wirksamkeit von Sicherheitsrichtlinien im Einklang mit den immer raffinierteren Bedrohungen, denen Unternehmen ausgesetzt sind.

Einen umfassenden Überblick über die digitale Sicherheit zu haben, ist oft einfacher und kostengünstiger. Es ist jedoch wichtig, dass ein NGFW alle Grundlagen für den Schutz von Netzwerk- und Web-Anwendungen abdeckt. WAFs spielen eine besondere Rolle beim Schutz von Web-Anwendungen vor Code-Injection, Cookie-Signing, benutzerdefinierten Fehlerseiten, Request Forgery und URL-Verschlüsselung. Daher kann es notwendig sein, eine NGFW in Verbindung mit einer dedizierten Web Application Firewall wie FortiWeb zu verwenden.

Fortinet schützt geschäftskritische Web-Anwendungen vor Angriffen, die sowohl auf bekannte als auch auf unbekannte Schwachstellen abzielen. Unsere FortiWeb-Lösung hält mit der rasanten Entwicklung der Web-Anwendungen von Unternehmen Schritt, um sicherzustellen, dass sie jedes Mal geschützt bleiben, wenn sie neue Funktionen bereitstellen, neue Web-APIs freigeben und bestehende aktualisieren.

FortiWeb bietet umfassenden Schutz, um Unternehmen vor allen Sicherheitsbedrohungen zu schützen, von DDoS-Schutz und Protokollvalidierung bis hin zu Angriffssignaturen für Anwendungen, Bot-Abwehr und IP-Reputation. Die Lösung nutzt auch maschinelles Lernen, um automatisch ein Modell des normalen Benutzerverhaltens zu erstellen und zu verwalten. Anhand dieses Modells kann FortiWeb harmlosen und bösartigen Datenverkehr ohne den zeitintensiven manuellen Aufwand erkennen, den die meisten WAFs erfordern.

Weitere Informationen zum Ansatz von Fortinet für WAF vs. Netzwerk-Firewall finden Sie in unserer Kurzübersicht zu WAF und IPS.