WAF vs. NGFW: Unterschiede, Einsatzbereiche und typische Setups

WAF vs. NGFW ist eine der wichtigsten Unterscheidungen in der modernen Netzwerksicherheit, weil beide Begriffe häufig in denselben Diskussionen auftauchen – aber unterschiedliche Probleme lösen. Viele Unternehmen setzen eine Next-Generation Firewall (NGFW) am Internet-Edge ein und gehen davon aus, dass damit auch Webanwendungen ausreichend geschützt sind. Andere kaufen eine Web Application Firewall (WAF) für ein Portal oder eine API und erwarten, dass sie „Firewall-Aufgaben“ wie Segmentierung, VPN oder generelle Netzwerkzugriffskontrolle ersetzt. Beides führt in der Praxis zu Lücken, unnötigen Kosten oder schlecht funktionierenden Setups. Der Kern ist einfach: Eine NGFW ist primär ein Netzwerk- und Perimeter-Sicherheitsgerät, das Traffic auf Layer 3/4 (und teilweise Layer 7 über App-Identification) kontrolliert, segmentiert, protokolliert und oft mit IPS, URL-Filtering und Malware-Schutz ergänzt. Eine WAF dagegen ist ein Anwendungsschutz für HTTP(S) und APIs, der Requests inhaltlich versteht (URLs, Parameter, JSON, Cookies, Sessions) und typische Webangriffe sowie Bot- und Layer-7-Missbrauch abwehrt. Wer beide korrekt kombiniert, bekommt eine robuste Defense-in-Depth-Architektur: NGFW schützt Netze und Zonen, WAF schützt die Anwendungsebene, und typische Setups nutzen zusätzlich CDN, Reverse Proxy, Rate Limiting und sauberes Logging. Dieser Artikel erklärt die Unterschiede, zeigt klare Einsatzbereiche und beschreibt typische Architekturen, mit denen WAF und NGFW gemeinsam ein sinnvoller Schutz werden.

Begriffe klarziehen: Was ist eine NGFW und was ist eine WAF?

Die Begriffe sind nicht austauschbar. Eine kurze, praxisorientierte Definition hilft, Missverständnisse zu vermeiden.

• NGFW (Next-Generation Firewall): Netzwerk-Sicherheitsplattform zur Steuerung von Verbindungen zwischen Zonen/Netzen. Typische Funktionen: Stateful Firewalling, NAT, VPN, Applikationskontrolle, IPS, URL-Filter, Malware-/Threat-Prevention, Logging und zentrale Policy-Verwaltung.
• WAF (Web Application Firewall): Layer-7-Schutz für Webanwendungen und APIs. Typische Funktionen: Erkennung/Blockierung von Webangriffen (z. B. SQLi, XSS-Muster), Request-Validierung, Bot-Management (je nach Produkt), Rate Limiting pro Endpoint, Layer-7-DDoS-Dämpfung, virtuelle Patches und detaillierte HTTP-Logs.

Für Webrisiken und Schutzprioritäten bieten OWASP Top 10 und für APIs zusätzlich OWASP API Security Top 10 eine gut verständliche Orientierung.

WAF vs. NGFW: Die wichtigsten Unterschiede auf einen Blick

Beide Technologien „filtern Traffic“, aber sie tun es auf unterschiedlichen Ebenen – und mit unterschiedlicher Semantik.

• Schicht im OSI-Modell: NGFW ist primär Layer 3/4 (mit App-Insights), WAF ist Layer 7 (HTTP/API).
• Objekt der Policy: NGFW: IPs, Netze, Zonen, Ports, Applikationen, Benutzergruppen. WAF: URLs, Methoden, Parameter, Header, Cookies, JSON/XML, Sessions, Bot-Signale.
• Angriffstypen: NGFW: Netzwerkangriffe, Portscans, Protokollmissbrauch, IPS-Signaturen. WAF: Webangriffe, API-Abuse, Login-Floods, Scraping, Layer-7-DDoS.
• TLS-Handling: NGFW kann TLS-Inspection durchführen, ist aber nicht automatisch „Web-kontextfähig“. WAF ist in der Regel direkt als TLS-Terminator/Reverse Proxy positioniert und baut darauf Weblogik auf.
• False-Positive-Risiko: WAF hat bei falschem Tuning potenziell höhere False-Positive-Auswirkungen auf legitime Requests, weil sie tiefer in die Anwendung eingreift.
• Betriebsmodell: NGFW wird oft zentral für Netze betrieben; WAF wird häufig anwendungsnah betrieben und muss mit Dev/Produkt abgestimmt werden.

Was eine NGFW gut kann – und wo ihre Grenzen liegen

Eine NGFW ist der richtige Ort für Netzwerkgrenzen: Internet/DMZ, DMZ/LAN, User/Server, Management-Zonen, Standortkopplungen, VPN. Sie sorgt für Segmentierung, kontrolliert Flows, verhindert unerwünschte Protokolle und liefert wertvolle Logs.

Typische Stärken einer NGFW

• Stateful Policy Enforcement: Erlauben/Blockieren von Verbindungen zwischen Zonen.
• NAT und Routing: Abbildung öffentlicher auf interne Services, Transit- und Segmentierungsdesign.
• VPN: Site-to-Site und Remote Access, Authentifizierung und Profilsteuerung.
• IPS/Threat Prevention: Signaturen, Anomalien, Blocken bekannter Exploits (vendorabhängig).
• App-/URL-Kontrolle: Applikationskategorien, URL-Filter (aber nicht gleich WAF-Logik).
• Netzwerk-Telemetrie: Flows, Denies, NAT-Mappings, Session-Counters – sehr wertvoll für IR.

Typische Grenzen einer NGFW im Webkontext

• Begrenztes Request-Verständnis: Auch mit TLS-Inspection ist eine NGFW selten so präzise wie eine WAF bei URL-/Parameter-/Payload-Validierung.
• API-spezifische Schutzlogik fehlt oft: JSON-Schemata, GraphQL-Query-Limits oder Endpoint-spezifische Rules sind WAF/API-Gateway-Themen.
• Business-Logic-Abuse: Credential Stuffing, Scraping oder Checkout-Abuse lassen sich nur begrenzt über reine Netzwerkregeln lösen.
• Layer-7-DDoS: Viele kleine „legitime“ Requests können Backends töten, ohne dass die NGFW klar „Attacke“ erkennt.

Was eine WAF gut kann – und wo ihre Grenzen liegen

Eine WAF sitzt in der Regel direkt vor Webanwendungen (Portale, APIs, mobile Backends) und bewertet Traffic inhaltlich. Sie ist besonders wertvoll, wenn Sie öffentlich erreichbare Services betreiben oder wenn Sie Web-Missbrauchsmuster sehen.

Typische Stärken einer WAF

• HTTP(S)-Kontext: Methoden, URLs, Parameter, Header, Cookies und Payloads sind Policy-Objekte.
• Schutz gegen OWASP-Klassen: Signaturen und Heuristiken gegen SQLi/XSS/Traversal etc. (je nach Regelset).
• Endpoint-spezifische Rate Limits: Login, Suche, API-Write-Endpunkte gezielt schützen.
• Bot- und Abuse-Schutz: Erkennung automatisierter Clients und verdächtiger Muster (produktabhängig).
• Virtuelle Patches: Temporäre Abwehr, wenn eine Schwachstelle bekannt ist, aber ein Fix noch aussteht.
• Layer-7-DDoS-Dämpfung: Abwehr gegen Request-Floods und „teure“ Endpunkte.

Typische Grenzen einer WAF

• Kein Ersatz für Secure Coding: Logikfehler und Autorisierungsprobleme bleiben App-Aufgaben.
• Kein Ersatz für Segmentierung: Eine WAF schützt nicht automatisch interne Zonen oder nicht-HTTP-Protokolle.
• Betrieb/Tuning nötig: Ohne Monitor-Phase, Ausnahmen und Reviews drohen False Positives.
• Origin-Schutz zwingend: Wenn der Origin direkt erreichbar bleibt, kann die WAF umgangen werden.

Einsatzbereiche: Wann NGFW, wann WAF – und wann beides?

In der Praxis ist die Entscheidung selten „entweder oder“. Es geht darum, welche Schicht welchen Teil der Angriffsfläche übernimmt.

NGFW ist Pflicht, wenn

• Sie Netze segmentieren und Zonenübergänge kontrollieren müssen (Internet/DMZ/LAN/Management).
• Sie NAT, VPN oder standortübergreifende Kopplungen betreiben.
• Sie generelle Netzwerkangriffe und Protokollmissbrauch am Edge abwehren wollen.
• Sie zentral nachvollziehbare Netzwerk-Logs für IR/Forensik benötigen.

WAF ist sinnvoll oder nötig, wenn

• Sie öffentliche Webanwendungen oder APIs betreiben, die geschäftskritisch sind.
• Sie Bot-Traffic, Credential Stuffing, Scraping oder Layer-7-DDoS beobachten.
• Sie Webrisiken (OWASP) zusätzlich zur App-Entwicklung mitigieren wollen.
• Sie Compliance- oder Audit-Anforderungen für Webschutz und Protokollierung erfüllen müssen.

Beides ist der Normalfall, wenn

• Sie eine DMZ oder Internet-Exposition haben: NGFW schützt die Zone, WAF schützt den HTTP-Teil.
• Sie Webservices mit internen Backends haben: WAF schützt den Eingang, NGFW segmentiert zu Datenbanken/Services.
• Sie hybride Umgebungen betreiben: Cloud-WAF/CDN vorne, NGFW im Transit/Edge und intern als Zonen-Policy.

Typische Setups: WAF und NGFW in der Architektur

Die häufigsten Setups lassen sich als Muster beschreiben. Entscheidend ist dabei immer: Wo terminieren TLS und wo wird der Origin geschützt?

Setup 1: Klassische DMZ mit On-Prem WAF

• Pfad: Internet → NGFW (Edge) → DMZ → WAF (Reverse Proxy) → Webserver/App → Backend-Zonen
• Warum sinnvoll: NGFW kontrolliert Zonen und nicht-HTTP, WAF kontrolliert HTTP-Inhalte und Endpunkte.
• Wichtig: Backend-Kommunikation (App→DB) strikt per NGFW/Segmentierung begrenzen.

Setup 2: CDN/WAF am Edge, Origin on-prem oder in der Cloud

• Pfad: Internet → CDN/WAF (Anycast) → Origin (Load Balancer) → App
• Vorteil: Gute DDoS-Resilienz, Caching, globale Performance.
• Wichtig: Origin nur von CDN/WAF erreichbar (Allowlist, private Link oder mTLS/Origin-Verification).

Setup 3: Cloud-native App mit WAF + NGFW/Firewall im Transit

• Pfad: Internet → Cloud-WAF/Front Door/ALB → App → interne Services
• NGFW-Rolle: Segmentierung im VPC/VNet (North-South/East-West), Egress-Kontrolle, VPN/Interconnect, zentraler Policy-Layer.
• Wichtig: Logs aus WAF und Netzwerk-Policies zentral korrelieren (SIEM).

Setup 4: API-first – WAF plus API Gateway

• Pfad: Internet → WAF → API Gateway → Services
• Warum sinnvoll: WAF filtert Webmuster und Bot-Traffic, API Gateway erzwingt Auth, Quotas, Schema-Validierung, Ratenlimits pro Client/Token.
• Wichtig: Klar definierte Limits pro Endpoint und Versionierung, damit Tuning beherrschbar bleibt.

WAF- und NGFW-Policies: Unterschiedliche Denkweisen

Ein häufiger Betriebsfehler ist, WAF-Regeln wie Firewall-Regeln zu behandeln – oder umgekehrt. Erfolgreiche Teams trennen bewusst die Policy-Logik.

NGFW-Policy-Prinzipien

• Zonenmodell: Traffic wird zwischen Trust-Leveln kontrolliert (User→Server, DMZ→LAN, Management).
• Least Privilege auf Netzwerkebene: Nur notwendige Ports/Apps/Netze, Default Deny.
• Change Governance: Regeländerungen sind kritisch, Review- und Rezertifizierungsprozesse sind Pflicht.

WAF-Policy-Prinzipien

• Endpoint-Fokus: Schutz teurer und sensibler URLs (Login, Suche, Checkout, API-Write).
• Request-Validierung: Was ist „normales“ Payload-Verhalten? Welche Parameter sind erlaubt?
• Stufenweises Tuning: Erst Monitor, dann selektives Blocken, dann gezielte Ausnahmen.
• Bot-/Abuse-Controls: Rate Limits pro Client, Reputation, Challenges, heuristische Muster.

TLS-Entschlüsselung: Wer sieht was?

Ein zentraler Punkt in WAF vs. NGFW ist, wo TLS terminiert. Ohne Sicht in den HTTP-Inhalt bleibt vieles blind. Es gibt mehrere gängige Modelle:

• TLS-Termination an der WAF: WAF sieht Klartext-HTTP und kann wirksam filtern; danach ggf. Re-Encryption zum Origin.
• TLS-Termination am Load Balancer: WAF muss davor oder als integrierte Funktion laufen, sonst sieht sie nichts.
• TLS-Inspection auf der NGFW: NGFW kann Inhalte sehen, aber die Tiefe der Weblogik ist oft geringer als bei WAF.

Best Practice im Internet-Exposed-Design: WAF/Edge-Komponente terminiert TLS und schützt die Anwendungsebene; die NGFW segmentiert die Netze dahinter.

Typische Fehler und Missverständnisse

• „NGFW reicht als WAF“: NGFW kann Websignaturen haben, aber ersetzt selten Endpoint-Validierung und Bot-Abuse-Controls.
• „WAF ersetzt Firewall“: WAF schützt HTTP, aber nicht VPN, nicht Routing, nicht generelle Zonen-Policies.
• Origin bleibt offen: WAF wird umgangen, weil der Backend-VIP direkt erreichbar ist.
• WAF ohne Tuning: False Positives führen zu Umsatz-/Produktivitätsproblemen und Abschaltung.
• Kein gemeinsames Logging: WAF-Events werden nicht mit NGFW-Logs korreliert; Incident Response wird langsamer.
• Überbreite Freigaben hinter der WAF: Wenn WAF kompromittiert oder umgangen wird, ist der Weg ins interne Netz zu weit offen.

Logging und Monitoring: WAF und NGFW sinnvoll zusammenführen

In reifen Umgebungen werden NGFW- und WAF-Logs zentral korreliert, um schnelle Ursachenanalyse und bessere Erkennung zu ermöglichen.

• WAF: Block/Challenge-Events, Top angegriffene Endpunkte, Bot-Signale, Rate-Limit-Hits.
• NGFW: Zonenübergänge, NAT-Mappings, Denies, IPS-Events, ungewöhnliche Outbounds.
• Korrelation: „WAF blockt Login-Flood“ + „NGFW sieht Outbound-Spikes“ kann auf Credential Stuffing oder App-Abuse hinweisen.

Für zentrale Logsammlung ist Syslog ein verbreiteter Standard, siehe RFC 5424.

Praktische Auswahlhilfe: Welche Fragen Sie beantworten sollten

• Welche Assets sind öffentlich? Webportal, API, VPN-Portal, Admin-GUI?
• Welche Bedrohungen sehen Sie? OWASP-Klassen, Bot-Traffic, Layer-7-DDoS, Credential Stuffing?
• Wo terminieren Sie TLS? WAF/CDN, Load Balancer, NGFW-Inspection?
• Können Sie den Origin schützen? Allowlisting, private Interconnect, mTLS?
• Haben Sie Betriebskapazität? WAF braucht Tuning, Ausnahmen, Reviews.
• Wie ist Ihr Zonenmodell? NGFW-Policies müssen Backends strikt segmentieren.

Checkliste: Typische Best-Practice-Setups

• NGFW am Edge segmentiert Internet/DMZ/LAN/Management mit Default Deny und minimalen Freigaben.
• WAF/Reverse Proxy oder CDN/WAF schützt Webportale und APIs mit Endpoint-spezifischen Regeln und Rate Limits.
• Origin ist nicht direkt öffentlich erreichbar (Allowlist nur für WAF/CDN, getrennte VIPs, ggf. mTLS).
• WAF wird stufenweise eingeführt (Monitor → selektives Blocken → Tuning/Ausnahmen befristet).
• NGFW und WAF liefern Logs zentral ins SIEM; Use Cases sind priorisiert, um Alert Fatigue zu vermeiden.
• Web- und API-Risiken werden zusätzlich durch Secure Coding, Tests und Patch-Management reduziert.

Weiterführende Informationsquellen

• OWASP Top 10: Webrisiken und Schutzprioritäten
• OWASP API Security Top 10: Risiken für APIs
• NIST SP 800-207: Zero Trust Architecture
• RFC 5424: Syslog für zentrale Logging-Architekturen
• BSI: IT-Grundschutz und Empfehlungen zur Web- und Netzwerksicherheit

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.