computerwoche.de

Security

Ratgeber Security

Alles über Web Application Firewalls

10.12.2009
Von Dr. Bruce Sams

Zusätzliche WAF-Funktionen

Viele WAFs bieten zusätzliche Funktionen an, um die Integration in die Anwendungslandschaft zu erleichtern. Etliche solche Features sind abhängig von der gewählten Einsatzart.

  • Caching: Dies verringert die Last der Web-Server und erhöht die Leistung durch das Zwischenspeichern von Kopien der regulär angeforderten Inhalte auf der WAF. Caching ist auch eine Standardfunktion vieler Web-Server.

  • Load Balancing: Load Balancing verteilt eingehende Requests auf mehrere Backend-Server zur Verbesserung von Leistung und Zuverlässigkeit. Die meisten WAFs stellen diese Funktion bereit, indem sie sich in einen bestehenden Load Balancer integrieren.

  • Connection Pooling: Dies reduziert den gesamten TCP-Overhead für den Web-Server, indem es mehreren Requests erlaubt, dieselbe Verbindung zu nutzen.

  • Komprimierung: Die WAF komprimiert automatisch einige Web-Inhalte, wenn sie an den Browser gesendet werden, was den Netzverkehr reduziert. Der Browser kann sie dann dekomprimieren. Dies ist ebenfalls eine Standardfunktion vieler Web-Server.

  • SSL-Beschleunigung: Wenn die SSL-Terminierung in der WAF stattfinden soll, dann kann die hardwarebasierende Verarbeitung die Leistung verbessern. Dies ist besonders interessant für WAFs, die Add-ons zu bestehenden Netzkomponenten sind, zum Beispiel Load Balancer, Firewalls und Switches.

  • Zentrale Verwaltung: Sind im Betrieb viele WAFs installiert, kann es die Verwaltung erheblich verbessern, wenn der Hersteller eine zentrale Management-Konsole anbietet, die alle installierten Instanzen von einem Standort aus kontrollieren kann. Das ist sehr nützlich, falls es zum Beispiel um das Verteilen von Richtlinien geht. Die zentrale Verwaltung ist vor allem bei Host-basierenden (verteilten) und eingebetteten WAFs ein wichtiges Thema.

  • Zentrales Logging: Weil Firewalls auf Anwendungsebene das gesamte Netzpaket und nicht nur die Netzadressen und Ports untersuchen, haben sie umfangreichere Logging-Möglichkeiten und können anwendungsspezifische Befehle aufzeichnen. Also lassen Sie nicht zu, dass diese Möglichkeit der Informationssammlung verloren geht! Die Analyse der Log-Dateien kann Sie vor drohenden oder aktuellen Angriffen warnen. Legen Sie also fest, welche Informationen Ihre Firewall protokollieren soll - vorzugsweise sollten dies die vollständigen Request- und Antwortdaten einschließlich Header- und Body-Payload sein. Die Zeit und das Know-how zur Log-Analyse muss natürlich auch gegeben sein.