Applikationsfilter Firewall

php?title=Web_Application_Firewall&action=edit&section=1" title="Edit Section: Schutz">Edit Source Code]>

Die Web-Application-Firewall ( "WAF") oder Web Shield ist ein Vorgehen zum Schutz von Web-Applikationen vor Attacken über das Hypertext-Transferprotokoll ("HTTP"). Sie ist daher ein Sonderfall einer Firewall auf Applikationsebene (ALF) oder eines Gateways auf Applikationsebene (ALG). Im Vergleich zu herkömmlichen Brandmauern und Intrusion Detection Systemen (IDS) prüft ein WAF die Verständigung auf Applikationsebene.

Um gefährliche oder verbotene Handlungen zu klassifizieren, wird oft ein Anwendungssicherheitsscanner in einer vorgelagerten Einlernphase verwendet. Dabei wird die Applikation, oft im Gespräch mit einem Benutzer, ausgewertet und daraus ein Profil für erlaubte Handlungen generiert. Wahlweise werden die Web-Seiten der Web-Anwendung über eine Form von Crawlern oder Anwendungssicherheitsscannern angesprochen und die enthaltenen Formfelder ausprobiert.

In diesem Falle wird die Anwendung in einer Form des passiven Modus ausgeführt, d.h. die erlaubten und nicht erlaubten Einträge werden in einer Protokolldatei aufgezeichnet. So kann der Sachbearbeiter später nachvollziehen, welche Maßnahmen in einem Arbeitsschritt gesperrt werden würden und kann sie durch die Einrichtung spezieller Regeln gezielt aktivieren. Das konkrete Vorgehen ist von Provider zu Provider unterschiedlich.

Wenn z. B. für ein geprüftes Formblatt zwei weitere Eingabeparameter festgelegt sind, kann die WAF alle Anfragen sperren, die drei oder mehr Eingabeparameter haben. Zusätzlich kann die Dauer und der Umfang der einzelnen Paramter überprüft werden. Aufgrund seiner zentralen Lage ist ein WAF ein optimaler Anwärter, um - vergleichbar mit einer Firewall - alle Anfragen an eine Anwendung zu prüfen und ggf. zu berichtigen oder abzulehnen.

Brandmauern - Funktionalität und Technik

Einleitende Anmerkung: Zum Schutze von Privatnetzwerken (Intranets), die (eigenständige) Firewall unerläÃ. Für auf einem Computer, der unmittelbar mit dem Netz verbunden ist, gibt es auch die Desktop-Firewalls, die auf einer separaten Unterseite zu betrachten sind. Paket-Filter (auch Port-Filter) sind die einfache Version einer Firewall.

Die Firewall auf Anwendungsebene ist mit dem Datenstrom zwischen Klient und Bediener verbunden und "spielt" den Bediener in Fahrtrichtung des Klienten und liefert gegenüber den Klienten zum Bediener. So kann - obwohl die Firewall überwiegend auf Layer 3 oder 4 funktioniert - z.B. der Fragmentierungsangriff abgewehrt oder ein veränderter Verbindungsaufbau/ Rückantwort detektiert werden.

Die Stateful Inspektionsfirewalls sind eine Zwischenstufe zwischen reinem Filter und Applikationsfirewalls, die die Vorzüge beider Verfahren weitgehend vereinen. SPI ( "Staful Packet Inspection") Firewall ist heute die am weitesten verbreitete Gruppe von Brandmauern und hat ihren Weg auf ("billige") DSL-Router gefunden. Für geringe Ansprüche genügt es, einen einzelnen Firewall-Rechner vor das Netz schützende (Intranet) zu plazieren.

Dabei werden zwei Brandmauern (eine äuà und eine Firewall ) über eine sogenannte entmilitarisierte Zonen ( "DMZ") - auch Border Network oder Border Network oder Grenzlandnetz - untereinander durchgeschaltet. So ist das Internet immer noch geschützt, auch wenn die Firewall äuà hätte gefährdet sein sollen. Außerdem können in dieser DMZ Rechner/Server eingerichtet werden, die auf ausgewählten öffentlich gemacht werden sollen (z.B. Kunden) und zugänglich, ohne dass diese den gleichen Netzwerkzugang zum gesamten internen Datenpool benötigen.

Zusätzlich wird empfohlen, die Einführung eines IDS ( "Intrusion Detection System") oder eines IPS ("Intrusion Prevention Système") in Betracht zu ziehen! Persönliche Firewall (auch Desktop-Firewall genannt) läuft, wie der gleichnamige Begriff schon vermuten lässt, auf dem Computer selbst. Wegen des Umfangs dieses Themenbereichs wurde ihm eine gesonderte Homepage widmet.