Konfiguration, Handhabung und Wartung
Sobald man die verschiedenen Betriebsarten, Funktionen etc. einer WAF kennt, ist es an der Zeit, über die wichtigsten, leider auch am wenigsten verstandenen Aspekte der Web Application Firewalls zu diskutieren: Betrieb, Wartung und Konfiguration. Das Hauptproblem ist, dass eine WAF, im Gegensatz zu einer Netz-Firewall, eng mit den Anwendungen hinter ihr verbunden ist. Wenn eine WAF eine Anwendung schützen soll, dann muss sie genug über die zulässigen Werte für jedes einzelne ihrer Felder wissen, um die eingegebenen Daten genau überprüfen zu können. In gewissem Sinn muss dann die Anwendungslogik in die WAF selbst hineinkonfiguriert werden, wodurch eine sehr enge Verbindung zwischen WAF und Anwendung entsteht. Die WAF muss Angriffs-Strings, die oft Sonderzeichen wie einfache Anführungszeichen enthalten, von zulässigen Eingaben, die ebenfalls Sonderzeichen enthalten, unterscheiden können. Letzteres ist zum Beispiel der Fall, wenn Herr O'Reilly seinen Namen eingibt. Eine Anwendung kann Zeichen wie $, <,>, /, *, "," akzeptieren, während eine andere nur $ und * annimmt. Eine dritte Anwendung wiederum benötigt XML-Strings als Eingabe und muss deshalb Daten akzeptieren, die leicht mit Angriff-Strings zu verwechseln sind.
Das Problem ist, dass detaillierte Kenntnisse über eine Anwendung auf diesem Niveau nur im Entwicklungsteam oder in der Fachabteilung vorhanden sind. Die für das Rechenzentrum und die Infrastruktur zuständigen Gruppen haben weder das technische Verständnis noch die Kenntnis zum Geschäftsprozess jeder einzelnen Anwendung, um eine WAF auf diese Weise zu konfigurieren und zu warten. Dennoch wollen viele Unternehmen ihre WAFs genauso betreiben wie ihre Netzwerk-Firewalls: als Geräte im Rechenzentrum. Frustration und gegenseitige Schuldzuweisungen sind die Folge.
Daran wird auch deutlich, dass Updates und Änderungen zu einer schweren Belastung werden können. Selbst bei einer kleinen Änderung an einer bestehenden Anwendung, wenn zum Beispiel der Feldname nur eines einzigen Parameters geändert wird, muss man dies auch in der WAF neu konfigurieren. In vielen Unternehmen dauert es eine Woche oder mehr, um die Änderungsanforderungen (Change Requests) für Firewalls zu überprüfen und umzusetzen. Deshalb muss eine neue WAF-Konfiguration gleichzeitig mit den Änderungen an der Anwendung angestoßen werden! Das Problem verstärkt sich, je enger die Verbindung zwischen WAF und Anwendungen ist. Daher Vorsicht bei der Verwendung von zu vielen "fortgeschrittenen" Angriffs-Erkennungsfunktionen, da sie in der Regel zu einer noch engeren Kopplung zwischen WAF und Anwendung führen.