Teilweise geringe Einsatzerfahrungen

Die Zwecke einer WAF können sehr allgemein mit ­»Sicherung von transaktionsorientierten Webanwendungen« angegeben werden. Auf diese Definition können sich sicher alle Anbieter einigen. Es fragt sich nur, ob eine solche Definition dem Anwender bei der Auswahl konkreter Produkte am Markt viel bringt. Denn tatsächlich sind die »technischen Ansätze« der einzelnen Produkte sehr verschieden und die Aussagen der einzelnen Protagonisten über den Konkurrenten zeugen nicht selten von purer Unwissenheit oder sie fälschen bewusst. Erschwerend kommt für den Anwender, der vor der Qual der Wahl steht, hinzu, dass über einige Produkte nur relativ wenige Einsatzerfahrungen vorliegen. Einer dieser »Unbekannten« ist das Produkt Airlock der schweizerischen Firma Visonys (früher: Seclusion). Man könnte aber auch Hyperguard von Art of Defence oder F5 nehmen. Letztere sind zwar in der Lastverteilung und in der Netzverkehrsbeschleunigung gut im Geschäft, in der WAF-Ecke haben sie ­zumindest in Deutschland nie ein Bein auf die Erde gekriegt. Hyperguard und Airlock wiederum sind insgesamt noch zarte Pflänzchen. Beide haben einige neue technische Ansätze. Bei Airlock beispielsweise ist die ­digitale Signierung der URL interessant, für Anwendungen, die vom Nutzerkreis her sinnvoll eingrenzbar sind, sicher auch die vorgelagerte Authentisierung. Durch die URL-Signierung muss eine zulässige Webadresse nicht im Hauptspeicher gehalten werden, sondern wird je nach Signatur als gültig oder ungültig erkannt.