Was ist das?

Passive Application Firewall

• Passive Application Firewalls analysieren den Datenverkehr und identifizieren potenziell schädliche oder unerwünschte Aktivitäten, ohne den Datenverkehr zu blockieren.
• Sie überwachen den Verkehr und generieren Warnmeldungen oder Protokolleinträge, wenn verdächtige Aktivitäten erkannt werden, bieten jedoch keine unmittelbare Reaktion auf Angriffe.
• Beispiel: Eine passive Application Firewall überwacht den Datenverkehr eines Web-Servers und erkennt eine verdächtige SQL-Injection-Angriffsversuche. Anstatt den Angriff sofort zu blockieren, zeichnet die Firewall die Details des Angriffs auf und sendet eine Warnmeldung an das Sicherheitsteam. Das Sicherheitsteam kann dann entsprechende Maßnahmen ergreifen, wie z.B. die Aktualisierung der Webanwendung, um die Sicherheitslücke zu schließen.

Aktive Application Firewall

• Aktive Application Firewalls gehen über die passive Überwachung hinaus und ergreifen proaktive Maßnahmen zum Blockieren oder Filtern von verdächtigem oder bösartigem Datenverkehr.
• Sie können Echtzeitentscheidungen treffen, um den Datenverkehr basierend auf vordefinierten Regeln zu blockieren oder zu modifizieren, um potenzielle Bedrohungen zu neutralisieren, bevor sie das interne Netzwerk erreichen.
• Beispiel: Eine aktive Application Firewall erkennt einen Versuch, einen Cross-Site-Scripting (XSS) Angriff auf eine Webanwendung durchzuführen. Die Firewall blockiert sofort den verdächtigen Datenverkehr und sendet eine Warnmeldung an das Sicherheitsteam. Dadurch wird verhindert, dass der Angriff die Anwendung erreicht und potenziell Schaden verursacht, während gleichzeitig das Sicherheitsteam über den Vorfall informiert wird, um weitere Maßnahmen zu ergreifen.