Mit der Verbreitung von Web-Anwendungen in kritischen Bereichen ist die Zahl und Schwere der Angriffe auf diese Anwendungen dramatisch gestiegen. In der Vergangenheit haben sich Unternehmen vor Angriffen durch die Schaffung eines sicheren Raums auf der Grundlage von Netzwerk-Firewalls geschützt. Doch Studien zeigen, dass sich die meisten Angriffe inzwischen von der Netz- auf die Anwendungsebene verlagert haben. Leider sind diese Attacken oft erfolgreich, weil viele Web-Anwendungen schwerwiegende Schwachstellen aufweisen. Nach Untersuchungen von WhiteHat Security haben 82 Prozent von 687 Anwendungen mindestens eine Schwachstelle wie Cross Site Scripting, SQL-Injection oder Privilege Escalation. Traditionelle Abwehrmechanismen wie Netz-Firewalls schützen hier nicht. Sie konzentrieren sich komplett auf die Netz- und Transportschicht und ignorieren Angriffe, die auf dem Hypertext Transfer Protocol (HTTP), Schicht 7 und höher, basieren.

Vor diesem Hintergrund gibt es eine Reihe von Strategien zur Verringerung der Sicherheitslücken, darunter eine neue Klasse von Produkten, die danach streben, einen umfassenden Schutz auf der Anwendungsebene zu gewährleisten: die Web Application Firewall (WAF). Eine WAF ist im Grunde eine Art Filter zwischen Client und Server, der auf der Anwendungsebene operiert, um schädliche oder gefährliche Requests zu blockieren, bevor sie die Anwendungen erreichen.

Richtig ausgewählt, installiert und konfiguriert kann eine WAF die Sicherheit von Web-Applikationen erheblich verbessern. Die Mehrzahl der WAFs schützen Anwendungen (zumindest auf dem Papier) gegen die meisten Bedrohungen, die in der "Owasp Top-10 Vulnerability List" des Open Web Application Security Project beschrieben sind. Allerdings kann dieser Schutz hohe Kosten und großen Aufwand nach sich ziehen. Deshalb sollten Sie im ersten und wichtigsten Schritt bei der Entscheidung für eine WAF definieren, was Sie mit der Technik erreichen möchten und warum Sie sie überhaupt haben wollen.