Web Application Firewalls - Grundlagen und Marktübersicht

Authentisierung via WAF

Viele WAF-Produkte lassen sich auch als zentrale Authentisierungsinstanz für Web-Applikationen einsetzen. Die Möglichkeiten reichen hier von einer herkömmlichen "Basic-Auth" mit einer in der WAF gepflegten Benutzerdatenbank über die Authentisierung mit Client-Zertifikaten bis hin zu Single-Sign-on-Portalen mit Unterstützung für komplexe Benutzerdatenbanken (etwa Host-Anbindung oder Kerberos-Token).

Eine WAF kann auch per SSL verschlüsselte Anfragen inspizieren. Das originäre Server-Zertifikat samt Schlüssel wird dabei auf der WAF eingespielt, die (im Reverse-Proxy-Modus) dann die SSL-Verbindungen terminiert. Nach der Untersuchung der Anfrage kann die Verbindung zum eigentlichen Web-Server erneut verschlüsselt werden oder - je nach Anforderung - auch unchiffriert erfolgen. Für den Betrieb im Bridge-Modus wird SSL transparent inspiziert.

Um ihren Zweck erfüllen zu können, benötigt eine WAF eine Policy, die möglichst gut an die zu schützende Applikation angepasst ist. Eine solche Policy lässt sich auf unterschiedliche Weise erstellen. Auch können unter Umständen mehrere sich ergänzende Schutzmechanismen in einer Policy parallel verwendet werden.