_CORE
Leistungen
KI & Agentensysteme Unternehmensinformationssysteme Cloud & Platform Engineering Datenplattform & Integration Sicherheit & Compliance QA, Testing & Observability IoT, Automatisierung & Robotik Mobile & Digitale Produkte
Branchen
Banken & Finanzen Versicherungen Öffentliche Verwaltung Verteidigung & Sicherheit Gesundheitswesen Energie & Versorgung Telko & Medien Industrie & Fertigung Logistik & E-Commerce Retail & Treueprogramme
Referenzen Technologien
Lab
Blog Know-how Tools
Über uns Zusammenarbeit Karriere
CS EN DE
Lassen Sie uns sprechen

WAF-Konfiguration — Web Application Firewall

04. 06. 2021 Aktualisiert: 27. 03. 2026 1 Min. Lesezeit intermediate
Dieser Artikel wurde veröffentlicht im Jahr 2021. Einige Informationen können veraltet sein.

WAF (Web Application Firewall) blockiert SQL Injection, XSS, Path Traversal und Bot-Traffic auf der Anwendungsschicht. Es ist eine Defense-in-Depth-Schicht — sie ergaenzt sicheren Code, ersetzt ihn aber nicht. WAF analysiert HTTP-Requests und -Responses anhand von Regeln und blockiert verdaechtige Muster, bevor sie die Anwendung erreichen. Fuer internetexponierte Webanwendungen ist WAF Standard.

ModSecurity + OWASP CRS

# Nginx-Konfiguration
modsecurity on;
modsecurity_rules_file /etc/modsecurity/crs/crs-setup.conf;
modsecurity_rules_file /etc/modsecurity/crs/rules/*.conf;

ModSecurity ist eine Open-Source-WAF-Engine fuer Nginx, Apache und IIS. Das OWASP Core Rule Set (CRS) enthaelt Regeln gegen die OWASP Top 10 Schwachstellen — SQL Injection, XSS, Command Injection, Path Traversal und mehr. CRS arbeitet mit Anomaly Scoring — jedes verdaechtige Muster addiert Punkte und der Request wird beim Ueberschreiten des Schwellenwerts blockiert. Dies minimiert False Positives im Vergleich zu binaerer Block/Allow-Logik.

AWS WAF

resource "aws_wafv2_web_acl" "main" {
  default_action { allow {} }
  rule {
    name = "aws-managed"
    statement {
      managed_rule_group_statement {
        vendor_name = "AWS"
        name        = "AWSManagedRulesCommonRuleSet"
      }
    }
  }
}

AWS WAF bietet Managed Rule Groups von AWS und Drittanbietern. Die Integration mit CloudFront und ALB ist nativ. Cloudflare WAF ist eine Alternative mit einem globalen Edge-Netzwerk und einfacherer Konfiguration. Beide bieten Bot Management, Geo-Blocking und Custom Rules.

Bereitstellung und Tuning

Stellen Sie WAF nie direkt im Blocking-Modus bereit. Beginnen Sie im Detection/Logging-Modus, analysieren Sie Logs und identifizieren Sie False Positives. Typische False Positives: JSON-API-Payloads, die als SQL Injection erkannt werden, base64-Inhalte, die als XSS erkannt werden. Erstellen Sie Ausnahmen fuer legitime Muster und schalten Sie erst dann auf Blocking um.

Wichtigste Erkenntnis

WAF ist Defense-in-Depth, kein Ersatz fuer sicheren Code. Beginnen Sie mit Managed Rules im Detection-Modus, tunen Sie False Positives und verschaerfen Sie schrittweise. ModSecurity fuer Self-Hosted, AWS WAF oder Cloudflare WAF fuer Cloud.

securitywafwebmodsecurity
Teilen:

CORE SYSTEMS Team

Wir bauen Kernsysteme und KI-Agenten, die den Betrieb am Laufen halten. 15 Jahre Erfahrung mit Enterprise-IT.

Alle Artikel

Mehr Know-how

OWASP Top 10 — Sicherheit von Webanwendungen

OWASP-Empfehlungen in Java EE. SQL Injection, XSS, CSRF und wie man sich dagegen verteidigt.

CSRF-Schutz — Cross-Site Request Forgery

Wie CSRF-Angriffe funktionieren und wie man sich schützt. Token, SameSite Cookies, Double Submit.

Zero-Trust-Architektur — Das Ende des Perimeters

Warum traditionelle Perimetersicherheit nicht mehr ausreicht und wie man Zero Trust im Enterprise-Umfeld...

SSL/TLS-Zertifikate in Java-Anwendungen

Verwaltung von SSL-Zertifikaten in Java Keystores. Keytool, Truststore, Mutual TLS und häufige HTTPS-Probleme.