2023 / API / Cloud Security / Datenschutz

Web Application Firewalls – Die 10 Topanbieter im Vergleich

Web Application Firewalls sind ein entscheidender Bestandteil der Sicherheitsstrategie im Internet. Es gibt ein paar ungeschriebene Gesetze, die jeder, der damit beruflich zu tun hat, im Gedächtnis behalten sollte. Unter anderem, dass nichts, was online oder im Netzwerk gespeichert wird, zu 100 Prozent sicher sein kann. Zum anderen aber auch, dass jeder Server permanent und oft vollkommen automatisiert angegriffen wird.

All das ist für Angreifer mitunter sogar sehr leicht, vor allem dann, wenn bekannte Systeme genutzt werden, die häufig unzureichend gesichert sind. WordPress ist ein schönes Beispiel dafür. WordPress ist ein bekanntes und beliebtes Content Management System, welches weit verbreitet ist und ebenso viele bekannte Schwachstellen besitzt. Speziell Plugins und Themes lassen sich hier angreifen, weshalb Hacker oft automatisiert nach typischen Verzeichnissen Ausschau halten und diese crawlen, um anschließend dann zuschlagen zu können.

Eine Web Application Firewall kann verhindern, dass solche Anfragen durchgehen. Nur mittels einer solchen Firewall lassen sich bösartige Angriffe, Anfragen und Parameter oder Bots bereits vorab fast vollständig blockieren. Auf diese Weise haben selbige gar nicht erst Zugriff auf die Website und können folglich auch nichts ausspionieren oder in Erfahrung bringen. Doch was genau ist eine Web Application Firewall überhaupt und schützt sie wirklich in jedem Fall vor Angriffen?

Was ist eine Web Application Firewall?

Die Web Application Firewall, die kurz und bündig auch einfach als WAF bezeichnet wird, dient zum Schutz von Web-Anwendungen und APIs. Dazu sind für gewöhnlich keinerlei Änderungen an diesen notwendig, da die Web Application Firewall die Zugriffe selbst beobachtet und somit ein wenig anders funktioniert als komplexere Firewalls.

Genau genommen untersucht eine Web Application Firewall alle eingehenden Anfragen, oft aber auch die entsprechenden Antworten eines Servers. Sobald etwas nach den Regeln der WAF verdächtig erscheint, wird der Zugriff entsprechend schnell blockiert. Auf diese Weise können verdächtige oder gar schädliche Bots geblockt werden, ebenso wie der Zugriff auf typische Verzeichnisse oder URLs verhindert werden kann.

Durch einen Scanner kann die Firewall entsprechend angelernt werden. Dieser speichert dann zulässige Aktionen und verbietet oder verhindert alles, was nicht den Regeln entspricht. Hier gibt es jedoch viele verschiedene Modelle, auch eigene Regeln lassen sich natürlich detailliert hinterlegen. Am Ende kontrolliert die WAF in jedem Fall den Datenverkehr zum Server und versucht auf diese Weise schädliche Anfragen möglichst ganzheitlich zu blockieren.

Wovor schützt eine WAF genau?

Wie eben bereits erläutert, überwacht die Web Application Firewall den Datenverkehr eines Servers bzw. einer entsprechenden Web-Anwendung. Hier schützt sie vorwiegend vor Cross-Site-Scripting und SQL-Injections. Also die typischen Angriffe auf Websites und ihre Strukturen.

Ebenso einfach lassen sich mit einer WAF bestimmte Verzeichnisse sperren. Auch Bots, die lediglich Daten sammeln, können mittels WAF blockiert werden. Das spart Zugriffe und verbietet den typischen Crawlern einen automatisierten Abruf. Auf diese Weise lassen sich viele gängige Angriffe bereits vorab blockieren. Schädliche Anfragen finden dann gar nicht mehr statt.

Das gelingt, weil die meisten Angriffe automatisiert vollzogen werden. Ein Hacker könnte eine WAF vermutlich umgehen, doch da die meisten Anfragen erst einmal nur Daten sammeln oder nach Schwachstellen scannen, lassen sie sich auch entsprechend einfach abwehren und im besten Fall eben vollständig blockieren und somit aussperren.

Welche WAF-Anbieter gibt es?

Es gibt inzwischen verschiedene Anbieter, die eine Web Application Firewall bereitstellen. Diese sind heutzutage meistens Cloud-basiert und profitieren von ihren Nutzern, indem sie die jeweiligen Daten für sich auswerten und Angriffe fortan auf allen Instanzen blockieren. Wird eine große Website also angegriffen und wird dies festgestellt, gilt die Regel in der Cloud fortan auch für Ihre Website, sodass es dort gar nicht erst so weit kommen sollte. Das ist durchaus als Vorteil zu betrachten. Neue Regeln werden dann automatisiert vom Anbieter geladen und bleiben stets aktuell.

1. Sucuri Website Firewall

Sucuri ist unter anderem durch ihr hervorragendes WordPress Plugin bekannt, welches die Sucuri WAF komplett mit WordPress verbindet und beide Welten miteinander vereint. Damit können selbst Anfänger das Content Management System problemlos absichern. Außerdem schützt Sucuri vor den Top-10-Schwachstellen nach OWASP. 

Neben der Abwehr von bösartigen Anfragen hat Sucuri auch einen umfangreichen und starken DDoS-Schutz mit an Board. Auf benutzerdefinierte Regeln verzichtet Sucuri dabei ganz bewusst. Gerade als Cloud-Firewall setzt das Unternehmen vielmehr auf die Crowd-Struktur, bei der alle Daten zu Angriffen gesammelt und kollektiv genutzt werden können. Wird eine Schwachstelle auf einer Website ausgenutzt und blockiert, geschieht dies daher auch automatisch auf allen anderen im Netzwerk von Sucuri.

Sucuri bietet noch weit mehr als das, doch eine komplette Auflistung aller Features oder Funktionen wäre wenig sinnvoll und auch nicht zielführend. Schauen Sie sich die WAF am besten selbst ein wenig genauer an, wenn Sie die vorgestellten Punkte interessant für Ihr Unternehmen finden. Angeboten wird die Sucuri WAF als Cloud-Firewall mit einem entsprechenden Abonnement.

2. Cloudflare WAF

Mit der Cloudflare WAF können Websites effektiv geschützt und sogar mit benutzerdefinierten Regeln versehen werden. Diese dürfen zudem geteilt, also an mehrere Websites gesendet werden, die dann wiederum alle von den zuvor definierten Richtlinien profitieren. Damit ist die Cloudflare WAF am Ende tatsächlich überaus mächtig, wenn es um den Schutz von größeren Portfolios oder Netzwerken geht.

Den größten Vorteil, den Cloudflare zu bieten hat, ist die gigantische Datenbasis. Eine unglaublich große Anzahl an bekannten Websites setzt Cloudflare als Firewall ein und die dort gesammelten Sicherheitsinformationen kommen somit auch Ihnen zugute. Cloudflare selbst spricht von über einer Million Websites und entsprechend umfangreichen Sicherheitsinformationen und fein konfigurierten Regeln.

Neben der Web Application Firewall ist in Cloudflare auch ein DDoS-Schutz integriert, eine Bildoptimierung, eine Bot-Abwehr und noch einiges mehr. Das hängt unter anderem auch von dem gewählten Tarif ab. Cloudflare ist primär aufgrund der Verbreitung eine gute Wahl.

3. AWS WAF

Die Amazon Web Services bieten ebenfalls eine umfangreiche Web Application Firewall an. Wie immer bei den Amazon Cloud Services eignet sich diese aber in erster Linie für Dienste, die Sie direkt bei Amazon betreiben, verwalten und entsprechend schützen wollen. Dafür ist die AWS WAF aber auch wirklich ideal und dort auch sofort einsatzbereit.

Amazon bietet Ihnen zudem einen Firewall Manager, über den sich Regeln festlegen oder Bots blockieren lassen. Die AWS WAF verbindet sich dabei nahtlos mit den anderen Amazon Services, wie etwa CloudFront, den Load Balancer oder aber auch AppSync. Damit ist jederzeit sichergestellt, dass alle Regeln der WAF auch entsprechend umfangreich berücksichtigt werden.

Egal, ob Bots, typische Angriffsmuster, SQL-Injections oder Cross-Site-Scripting (XSS) Attacken, mit der Amaozn Web Services Web Application Firewall können Sie all das effektiv blockieren. Wie gesagt, funktioniert die AWS WAF aber am besten in Verbindung mit anderen Leistungen von AWS selbst und weniger mit Anwendungen Dritter.

4. Prophaze

Prophaze bietet Ihnen eine vollwertige Cloud WAF an. Als native Cloud Web Application Firewall, benutzt der Anbieter unter anderem KI-Algorithmen, um die Erkennungsrate zu erhöhen und auch automatisiert und intelligent entsprechende Einfallstore zu entlarven. Das klappt auf den ersten Blick durchaus gut, zumal die Firewall sehr mächtig erscheint.

Hauptaugenmerk legt Prophaze auf das Profiling der Anwendung, dynamische Regelsätze, persönliche Firewall-Regeln, die Visualisierung von Bedrohungen mit entsprechenden Analysen der Firewall selbst sowie Machine Learning Features, die die Erkennung entsprechend stark verbessern sollen. Damit ist Prophaze sehr fortschrittlich und präsentiert sich auch als eine Art von »neuartiger« WAF.

Uns gefällt vorrangig die Visualisierung der Firewall. Auf diese Weise lassen sich Schwachstellen, Angriffe und Probleme kurzfristig und schnell visuell festhalten und erkennen. Das kann, wie Sicherheitsexperten wissen, im Alltag viel Wert sein. Die Firewall as a Service Lösung ist daher einen genaueren Blick wert. Insbesondere dann, wenn Sie großes Vertrauen in Automatismen und KI haben, die hier stark genutzt werden sollen.

5. SiteLock WAF

Auch SiteLock hat eine eigene Web Application Firewall parat. Die möchte den Einfall von bösartigem Code verhindern und kommt cloud-basiert daher, um neue Regeln entsprechend automatisiert umzusetzen und integrieren zu können. Das klappt auch zuverlässig und zudem kann SiteLock zu einer Vielfalt an Angeboten relativ einfach hinzugefügt werden.

Die Firewall selbst schaltet sich dann vor die eigentliche Anfrage, prüft und analysiert diese, um anschließend schädliche Zugriffe möglichst zuverlässig filtern zu können. Bösartige Hacker oder schadhafte Anfragen von Bots gelangen somit gar nicht mehr bis zu Ihrer Website, sondern werden bereits vorab von der Firewall entsprechend blockiert.

SiteLock ist im direkten Vergleich mit ähnlichen Web Application Firewalls sehr einfach zu bedienen und nahezu überall einsetzbar. Deshalb ist die WAF auch so beliebt. Gerade auch bei kleinen und mittelständischen Unternehmen.

6. NinjaFirewall

NinjaFirewall ist gerade deshalb interessant, weil es die kostengünstige Alternative zu vielen großen Anbietern zu sein scheint. Die Web Application Firewall integriert sich entweder nahtlos per WordPress Plugin in das CMS oder kann bei jeder beliebigen PHP-Anwendung vorgeschaltet werden. Beides ist weder kompliziert noch besonders aufwendig.

Ansonsten schützt auch NinjaFirewall vor den OWASP Top 10, XXS, SQLi sowie ähnlichen Attacken, besitzt verschiedene Filter und Zugriffsfunktionen und kann einfach sehr viel für kleines Geld. Die WAF wird allerdings auch selbst betrieben und verzichtet auf Cloud-Anbindungen. Allerdings wurde sie mit Fokus auf Performance hin entwickelt und läuft wirklich hervorragend.

Am Ende ist NinjaFirewall für all diejenigen interessant, die nicht viel Geld investieren wollen, sich aber dennoch eine vollwertige Web Application Firewall wünschen. Regelmäßige Updates und eine lange Geschichte zeichnen NinjaFirewall aus und haben die WAF zu einer zuverlässigen Alternative zu den großen Anbietern werden lassen.

7. Imperva

Die Imperva Web Application Firewall verspricht vieles und möchte hauptsächlich jederzeit und immer auf dem neusten Stand sein. Ihre Zuverlässigkeit soll laut Hersteller zu null Fehlalarmen führen und mit einem eigenen globalen SOC sicherstellen, dass schon kurze Zeit nach dem Auftauchen neuer Schwachstellen, entsprechende Fixes in der WAF bereitgestellt werden.

Gerade der Fokus auf keinerlei Falschmeldungen hilft natürlich dabei, nicht automatisch in einen Panikmodus, auch bekannt als Überwachungsmodus wechseln zu müssen. Die automatische Richtlinienerstellung und Regelweitergabe führt zudem dafür, dass entsprechende Maßnahmen möglichst schnell und agil in die WAF integriert werden können.

Imperva ist dabei aber auch nichts für Anfänger, sondern richtet sich an große Unternehmen mit entsprechendem Volumen. Auch durch die vielen Sonderfunktionen und Möglichkeiten wird Imperva zunehmend komplexer. Einfach lizenzieren dürfen Sie daher gar nicht erst, vielmehr können Sie mit dem Entwickler eine Demo vereinbaren bzw. anfordern, um sich Imperva dann im Detail anschauen zu dürfen.

8. AppTrana

Bei AppTrana wird mehr als nur eine Firewall geboten. Der Service kombiniert automatisierte Scans und Testings, mit Analysen, einem CDN und einer hochwertigen WAF. Auf diese Weise werden mögliche Bedrohungen bereits auf Anwendungsebene erkannt und können dementsprechend schnell gebannt werden.

Zu den Features von AppTrana gehört auch ein DDoS-Schutz (DDoS-Scrubber) und erweiterte Möglichkeiten, um Bot-Angriffe erfolgreich abzuwehren. Auch mit eigenen Regeln, die sich an dem Host, der IP, einer URI, der Geolocation oder anderen Daten orientieren. AppTrana ist hier sehr umfangreich und erlaubt es Ihnen, viele persönliche Muster festzulegen und Attacken dementsprechend erfolgreich abzuwehren.

Neben dem inzwischen fast standardmäßigen Schutz vor den OWASP Top 10 und Zero-Day-Schwachstellen, gibt es hier somit noch jede Menge weitere Tools, um Web-Anwendungen mittels Web Application Firewall abzusichern. Spannend ist bei AppTrana, dass auch aktive Hacks sorgfältig überwacht werden.

9. Qualys

Mit der Qualys Web Application Firewall setzten Sie auf eine Cloud-Firewall mit großem Funktionsumfang. Dabei setzt die WAF auf ein zentrales Portal, über welches die Mechanismen entsprechend verwaltet werden könne. Das vereinfacht die Sache enorm, wenn Web-Anwendungen verschiedener Art entsprechend geschützt werden müssen und die Verwaltung mitunter komplexer wird.

Da Qualys komplett auf die Cloud setzt, kann die WAF mittels VMware, Hyper-V oder Docker problemlos und schnell in Plattformen wie AWS, Google Cloud oder Microsoft Azure integriert werden. Die WAF kommuniziert dann dauerhaft mit der Qualys Cloud Platform, um neuste Regelsätze und Ereignisse entsprechend zu verarbeiten.

Die erlangten Daten der WAF werden in einem Dashboard entsprechend übersichtlich aufbereitet, was die Arbeit mit der Web Application Firewall noch einmal deutlich vereinfacht. Damit behalten Sie alle Anfragen jederzeit im Blick. Für Plattformen wie WordPress, Joomla und Co sind zudem entsprechende Richtlinien vorhanden, die schnell und einfach genutzt werden können.

10. Signal Sciences

Signal Sciences verspricht seinen Kunden einen vollwertigen Schutz von Apps und APIs, in der Cloud oder im Rechenzentrum, in Containern oder auch ohne eigenen Server. Anders als regelbasierte Web Application Firewalls (WAFs), möchte Signal Sciences die Probleme gängiger WAFs auf andere Art und Weise lösen.

Die Web Application Firewall möchte Fehlalarme drastisch reduzieren, alle möglichen Sicherheitsrisiken abdecken (nicht nur die OWASP Top 10 oder bösartige Bots), eine möglichst niedrige Deploy Time bieten sowie eine auf Performance optimierte Plattform bereitstellen. All das sorgt zudem dafür, dass Signal Sciences auch ganz konkret Kosten einspart.

Zusammengefasst soll alles einfach schneller, besser und zuverlässiger funktionieren. Ob das der Fall ist, lässt sich nur selbst herausfinden. Zumal die WAF immer auch den eigenen Ansprüchen gerecht werden muss und nach eigenen Bedürfnissen gewählt werden sollte. Einen Blick ist Signal Sciences aber sicherlich wert.

Jeder benötigt die für ihn passende Web Application Firewall

Auf eine Sache ist Verlass. Nämlich darauf, dass jede noch so kleine Website und jeder noch so unbedeutende Service im Internet permanent angegriffen wird. Oft sogar vollautomatisch und rund um die Uhr. Deshalb ist es auch unabdingbar, die eigenen Server-Strukturen mit einer entsprechenden Web Application Firewall abzusichern und demnach bestmöglich zu schützen.

In unserer Liste werden Sie zudem bereits festgestellt haben, dass viele Web Application Firewalls sich grundlegend unterscheiden. Da sind umfangreiche Lösungen, die auch komplexe Techniken beherrschen und besonders umfassend schützen können. Oder aber eher einfache WAFs, die für kleines Geld zu bekommen sind, die sich vielleicht aber auch deutlich einfach und somit problemloser in ein CMS wie WordPress integrieren lassen.

Für jeden Einsatzbereich gibt es die passende WAF. Groß und teuer ist dabei nicht immer besser. Es kommt vielmehr auf den Einsatzzweck an und darauf, wie die WAF Ihnen beim Thema Cybersicherheit zur Seite stehen soll. Wir hoffen, unsere kleine Übersicht der wichtigsten Anbieter hat Ihnen dabei geholfen, einen passenden auszuwählen.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.