Black- und Whitelists

Die Blacklists der Hersteller müssen lediglich aktiviert werden, um wirksam zu werden. Anspruchsvoller ist die Erstellung von Whitelists, da diese genau an die jeweilige Applikation und die dort verwendeten Parameter anzupassen sind. Bei vielen WAFs lässt sich ein Lernmodus aktivieren. Aus gültigen Anfragen werden dann die zulässigen Parameterwerte und URLs extrahiert und in die Policy übernommen.

Bei Web-Applikationen, die sich oft ändern, stößt dieses Verfahren allerdings schnell an seine Grenzen. Hier werden dann dynamisch erstellte Policies oder ein generisches Regelwerk angewendet, das die Parameter eher mit regulären Ausdrücken beschreibt, als konkrete Werte vorzugeben.

Durch geschickte Kombination von Blacklists und relativ generischen Whitelists lässt sich in der Praxis ein hohes Sicherheitsniveau erreichen und der Aufwand für die Pflege des Regelwerks dennoch gering halten.

False Positives

Bei der Erstellung einer Policy handelt es sich meist um einen iterativen Prozess, bei dem anfangs noch Fehlalarme - so genannte False Positives - auftreten können. Dabei werden an sich legitime Anfragen als Angriff eingestuft und blockiert. Abhilfe schafft hier ein Feature, das sich "One-Click-Refinement" nennt: Aus dem Logviewer der WAF heraus können mit nur einem Mausklick Ausnahmen für solche Requests erstellt werden.

Eine weitere Hilfe zur Erkennung und Behebung von False Positives ist ein passiver Betriebsmodus, der in der ersten Zeit der Inbetriebnahme eingeschaltet werden kann. In diesem Modus wird nicht blockiert, sondern nur ein Eintrag im Logfile generiert.