Was ist der Unterschied zwischen einer Web Application Firewall (WAF) und einer Next-Generation Firewall (NGFW)?

Firewalls sind eine wichtige Technologie, die den ein- und ausgehenden Internetverkehr überwacht und filtert, um sich vor Bedrohungen zu schützen und das Entweichen sensibler Daten zu verhindern. Unternehmen und Organisationen sind darauf angewiesen, dass diese Geräte durchgängig und zuverlässig funktionieren, damit sie kritische Ressourcen vor Infiltrationen schützen können.

Es gibt viele Arten von Firewalls, und jeder Typ hat seine eigene Funktionalität und seinen eigenen Zweck. In diesem Artikel werden wir Web Application Firewalls (WAFs) und Next-Generation Firewalls (NGFWs) miteinander vergleichen und anschließend untersuchen, wie Sie diese als Teil einer umfassenden Sicherheitslösung einsetzen können.

Was ist eine Web Application Firewall (WAF)?

Eine Web Application Firewall (WAF) ist eine Art von Firewall, die eine höhere Protokollebene (HTTP oder Layer 7) des eingehenden Datenverkehrs zwischen einer Webanwendung und dem Internet versteht. Es ist in der Lage, bösartige Anfragen zu erkennen und darauf zu reagieren, bevor sie von Webanwendungen und Webservern akzeptiert werden, und bietet Unternehmen damit eine zusätzliche Sicherheitsebene.

Wenn Sie WAFs zum Schutz von Webanwendungen einsetzen, definieren Sie in der Regel Regeln, die Webanfragen auf der Grundlage bestimmter Kriterien entweder zulassen, blockieren oder überwachen. Sie können beispielsweise eine Regel festlegen, die alle eingehenden Anfragen von einer bestimmten IP-Adresse oder nur Anfragen, die bestimmte HTTP-Header oder Sicherheitslücken enthalten, blockieren soll. Wenn Sie nur den Datenverkehr überwachen möchten, können Sie Monitore einrichten, die bestimmte Endpunkte zählen. Diese Flexibilität ermöglicht es Sicherheitsadministratoren, schnell zu erfassen, was angefordert wird, und nicht autorisierte oder unerwünschte Anfragen zu blockieren, wenn es zu Zwischenfällen und Kompromittierungen kommt.

Da WAFs ein höheres Maß an Datenverkehr verstehen, sind sie in der Lage, Angriffe auf Webanwendungen zu blockieren (neben anderen Vorteilen). Viele dieser Angriffe stehen in engem Zusammenhang mit der OWASP Top 10 -Liste, darunter Cross-Site Scripting (XSS)-Angriffe, SQL-Injektion, Denial-of-Service(DoS)-Angriffe und das Ausspähen von Anmeldedaten oder unsicheren Informationen.

Was ist ein NGFW?

Eine Next-Generation Firewall (NGFW) ist eine Art von Anwendungs-Firewall, die die besten Eigenschaften einer traditionellen Netzwerk-Firewall und einer Web Application Firewall kombiniert. In der Regel fungiert es als Firewall, die eingehende Anfragen blockiert, indem sie die Pakete der Netzwerkschicht prüft. Es verfügt jedoch auch über zusätzliche Prüffunktionen, die Ihnen neue Möglichkeiten eröffnen, unerwünschten Datenverkehr in Ihrem privaten Netzwerk zu blockieren.

Einige dieser Funktionen beziehen sich auf TLS-Inspektion und -Terminierung, Intrusion Detection und Prevention, Threat Intelligence und die Möglichkeit, erweiterte Filterregeln auf der Grundlage des Inhalts des Datenverkehrs oder der URLs zu konfigurieren. Der Hauptvorteil dieser Flexibilität besteht darin, dass Sicherheitsadministratoren fortschrittlichere Szenarien handhaben und ausgefeiltere Bedrohungen blockieren können, die aus koordinierten Angriffsvektoren stammen.

Nachdem Sie nun die grundlegenden Konzepte von WAFs und NGFWs verstanden haben, werden wir ihre Gemeinsamkeiten und Unterschiede erläutern.

Die Gemeinsamkeiten und Unterschiede zwischen WAFs und NGFWs

Man kann mit Fug und Recht behaupten, dass es einige Überschneidungen zwischen WAFs und NGFWs gibt. Beide verwenden Regeln und Policy Engines, um den eingehenden Datenverkehr zu filtern und auf der Grundlage bestimmter Kriterien zu handeln. Beides ist heutzutage einfacher zu bedienen, und je nach Anbieter müssen Sie keine spezielle Hardware kaufen, um diese Funktionen zu nutzen.

Man könnte meinen, dass sie sich überschneiden, weil sie beide mit Protokollen der Anwendungsschicht arbeiten - insbesondere mit Schicht 7. Das ist wahr. Sie können sich NGFWs als Erweiterungen herkömmlicher Firewalls vorstellen, die zusätzlich in der Lage sind, den Datenverkehr der OSI-Schichten 3-4 und 7 zu verarbeiten und diese Informationen zu nutzen, um Maßnahmen zu ergreifen, bevor er eine innere Schicht erreicht, die näher an der Anwendung liegt.

Ihre Hauptunterschiede liegen in ihren zentralen Verantwortungsmodellen und ihren allgemeinen Fähigkeiten. NGFWs erfassen mehr Kontext des Netzwerkverkehrs, so dass sie eingehende Angriffe verhindern können, bevor sie die Netzwerkebene erreichen. Sie können auch Threat Intelligence-Engines kombinieren, um den Entscheidungsprozess zu unterstützen. WAFs hingegen beschränken sich auf die Anwendungsebene und sind daher auf die Abwehr gängiger webbasierter Angriffe wie XSS und SQL-Injektionen spezialisiert. WAFs können nicht als primäre Firewalls für Ihr Netzwerk eingesetzt werden, aber sie sind ideal, um Ihre dem Internet ausgesetzten Webanwendungen zu schützen.

Wann WAFs vs. NGFWs verwendet werden sollten

Sie möchten Web Application Firewalls (WAFs) aus den folgenden Gründen einsetzen:

• Sie schützen vor Angriffen, die spezifisch für die Anwendungsschicht sind. WAFs können den Datenverkehr auf der Anwendungsebene untersuchen und sind auch in der Lage, vor gängigen Angriffen auf der Anwendungsebene zu schützen. Beispiele sind SQL-Injektion, XSS, DDoS und andere auf der OWASP Top 10 Liste.
• Sie können Ihnen helfen, die Compliance-Anforderungen zu erfüllen. Zum Beispiel wird in PCI DSS erörtert, wie WAFs in Verbindung mit sicheren Codierungspraktiken dazu beitragen können, Option 2 von Anforderung 6 zu erfüllen.

Next-Generation Firewall (NGFW)-Lösungen schützen sowohl vor netzwerk- als auch anwendungsweiten Angriffen. Ihre wichtigsten Merkmale sind:

• Sie können viele Ebenen überwachen (OSI 3-4 und 7). Dadurch erhalten sie einen besseren Kontext und Einblick in die Art des Angriffs. Sie können zum Beispiel feststellen, auf welche Anwendung jedes Paket abzielt und zusätzliche Kontrollen einrichten. Daher kann eine NGFW als primäre Firewall verwendet werden.
• Sie enthalten ausgefeilte Tools und Funktionen. NGFWs können interne oder externe Dienste nutzen, um Angriffe zu verhindern. Sie können zum Beispiel Threat Intelligence-Daten laden und die Regeln auf der Grundlage neuer Updates automatisch neu konfigurieren.
• Sie können den SSL-Verkehr überprüfen. NGFWs können als SSL-Terminierungs-Proxys fungieren, d.h. sie können ein- und ausgehenden verschlüsselten Datenverkehr überprüfen, bevor er sein Ziel erreicht. Mehr über diese Funktion erfahren Sie in diesem verwandten Artikel.

Da Sie nun eine Vorstellung davon haben, wann Sie eine WAF und wann eine NGFW einsetzen sollten, sehen wir uns an, wie Sie beide einsetzen können, um eine umfassende und tiefgreifende Verteidigungslösung bereitzustellen.

Wie ergänzen sich WAFs und NGFWs?

Da WAFs auf den Schutz des Datenverkehrs von Webanwendungen ausgerichtet sind, stellen sie die ideale Option für den Schutz von Webservern dar. WAFs sind jedoch nicht die ultimative Lösung, wenn es um umfassende Sicherheit geht. Daher ist es am besten, wenn Sie sie mit NGFWs kombinieren können.

Die ideale ganzheitliche Verteidigungsstrategie besteht darin, eine WAF so zu konfigurieren, dass sie vor den OWASP Top 10-Angriffen schützt, während eine NGFW als herkömmliche Netzwerk-Firewall fungiert, die bestimmte Angriffe erkennen und verhindern kann, bevor sie die WAF erreichen. Mit fortschrittlichen Funktionen wie IDS/IPS und Bedrohungsmodellierung können NGFWs einen großen Prozentsatz der Angriffe herausfiltern und den Rest den WAFs überlassen.

Was Kunden bei der Suche nach einer Sicherheitslösung für Webanwendungen beachten sollten

Bei der Suche nach einer Sicherheitslösung für Webanwendungen sollten Sie mehrere Faktoren berücksichtigen. Erstens brauchen Sie einen vertrauenswürdigen und zuverlässigen Anbieter, der ein ganzheitliches Paket von Tools und Diensten zum Schutz Ihrer Webanwendungen anbietet. Palo Alto Networks ist ein solcher Anbieter, der eine umfassende und benutzerfreundliche Reihe von Firewalls anbietet, darunter NGFWs und Web Application and API Security platform, die eine integrierte WAF enthält.

Zweitens brauchen Sie eine gute Dokumentation und einen hervorragenden technischen Support. Entwickler und Sicherheitsadministratoren sind auf Referenzdokumente angewiesen, damit sie wissen, wie sie die Firewalls richtig konfigurieren, die ihren Sicherheitsrichtlinien entsprechen. Die Dokumentation muss aktuell, genau und leicht zugänglich sein, damit die Implementierung eingehender Anfragen effizient und mit minimalem Risiko von Fehlkonfigurationen durchgeführt werden kann. Palo Alto Networks docs site ist eine robuste und leicht zu navigierende Entwicklerdokumentationsseite mit ausführlichen und detaillierten Auflistungen der Funktionen, deren Einrichtung und Versionsinformationen zur Kompatibilität.

WAF vs. NGFW FAQs