Was ist eine WAF und wozu brauche ich sie?

Eine Web Application Firewall (WAF) analysiert HTTP/HTTPS-Traffic und blockiert bösartige Anfragen (SQL-Injection, XSS, CSRF, Path Traversal) bevor sie die Anwendung erreichen. Sie ist Pflicht für jede öffentlich erreichbare Web-Applikation.

Was sind OWASP ModSecurity Core Rules?

Das OWASP ModSecurity Core Rule Set (CRS) ist eine Sammlung von über 200 generischen WAF-Regeln, die die häufigsten Web-Angriffe blockieren. Es ist der Standard für ModSecurity und kompatibel mit nginx, Apache und IIS.

Was ist der Unterschied zwischen einer WAF und einer Netzwerk-Firewall?

Eine Netzwerk-Firewall filtert Traffic auf IP/Port-Ebene (Layer 3/4). Eine WAF analysiert den HTTP-Inhalt (Layer 7) und versteht Anwendungsprotokolle. Für Web-Sicherheit sind beide nötig — sie ergänzen sich.

Soll ich ModSecurity oder Cloudflare WAF verwenden?

Für Self-Hosted: ModSecurity mit nginx (kostenlos, volle Kontrolle, DSGVO-konform). Für Cloud/CDN: Cloudflare WAF (einfach, managed, aber Daten verlassen EU). Für DSGVO-konforme Self-Hosted Infrastruktur ist ModSecurity die erste Wahl.

Was macht ein WAF für OpenClaw?

Ein Web Application Firewall (WAF) filtert HTTP-Traffic vor OpenClaw: blockiert SQL Injection, XSS, Path Traversal und OWASP Top 10 Angriffe bevor sie die Anwendung erreichen.

ModSecurity oder Cloudflare WAF?

ModSecurity (selbst gehostet, kostenlos, volle Kontrolle) für on-premises OpenClaw. Cloudflare WAF (managed, einfacher) für Cloud-Deployments. Beide unterstützen OWASP CRS.

Wie vermeide ich False-Positives beim WAF?

Zuerst im Detection-Mode starten, Logs analysieren, legitime Anfragen identifizieren. Schrittweise auf Prevention-Mode umstellen. Whitelist für bekannte Safe-Paths anlegen.

"Not a Pentest" Hinweis: Dieser Guide dient der Absicherung eigener Web-Applikationen. Kein Angriffs-Tool.

Was ist WAF Konfiguration?

WAF Konfiguration umfasst OWASP-Regeln, Custom Policies und Best Practices für ModSecurity, nginx WAF und Cloudflare WAF. Sie blockiert bösartige Anfragen wie SQL-Injection und XSS vor der Anwendung.

Eine WAF blockiert bis zu 90% aller OWASP Top 10 Angriffe bei korrekter Konfiguration.

WAF Konfiguration: Web Application Firewall Setup

Vollständige WAF-Konfiguration mit OWASP-Regeln und Custom Security Policies für ModSecurity, nginx WAF und Cloudflare.

WAF Grundlagen

Kernkomponenten

OWASP Core Rule Set (CRS) Integration
Custom-Regel-Konfiguration
Rate-Limiting und DDoS-Schutz
Request/Response-Inspektion
Virtual Patching

ModSecurity Konfiguration

# Enable ModSecurity with OWASP CRS
SecRuleEngine On
SecRequestBodyAccess On
SecResponseBodyAccess On
SecRequestBodyLimit 13107200
SecRequestBodyNoFilesLimit 131072

# Include OWASP Core Rule Set
Include owasp-modsecurity-crs/rules/*.conf

# Custom rules for application-specific protection
SecRule ARGS "@detectSQLi"     "id:1001,    phase:2,    block,    msg:'SQL Injection Attack Detected',    logdata:'Matched Data: %{MATCHED_VAR} found within %{MATCHED_VAR_NAME}',    tag:'application-multi',    tag:'language-multi',    tag:'platform-multi',    tag:'attack-sqli'"

Cloudflare WAF Setup

# Cloudflare WAF Rules via API
curl -X POST "https://api.cloudflare.com/client/v4/zones/{zone_id}/firewall/rules"   -H "Authorization: Bearer {api_token}"   -H "Content-Type: application/json"   --data '{
    "action": "block",
    "filter": {
      "expression": "(http.request.uri.path contains "admin" and ip.src ne 192.168.1.0/24)"
    },
    "description": "Block admin access except from internal network"
  }'

# Rate limiting rule
curl -X POST "https://api.cloudflare.com/client/v4/zones/{zone_id}/rate_limits"   -H "Authorization: Bearer {api_token}"   -H "Content-Type: application/json"   --data '{
    "action": {
      "mode": "simulate",
      "response": {
        "content_type": "application/json",
        "body": "{"error":"Rate limit exceeded"}"
      }
    },
    "match": {
      "request": {
        "methods": ["POST"],
        "url": "https://example.com/api/*"
      }
    },
    "period": 60,
    "threshold": 100,
    "description": "API rate limiting"
  }'

Nginx WAF Configuration

# Nginx with ModSecurity module
server {
    listen 443 ssl http2;
    server_name example.com;
    
    # Enable ModSecurity
    modsecurity on;
    modsecurity_rules_file /etc/nginx/modsec/main.conf;
    
    # Custom WAF rules
    location /api/ {
        # Rate limiting
        limit_req zone=api burst=20 nodelay;
        
        # Request size limits
        client_max_body_size 1M;
        
        # Security headers
        add_header X-Content-Type-Options nosniff;
        add_header X-Frame-Options DENY;
        add_header X-XSS-Protection "1; mode=block";
    }
    
    # Rate limiting zone
    limit_req_zone $binary_remote_addr zone=api:10m rate=10r/s;
}