Zum Hauptinhalt springen
von Shopbetreibern für Shopbetreiber

WAF für Magento — SafeLine als Web Application Firewall

von Shopbetreibern für Shopbetreiber.

Warum eine Web Application Firewall vor jedem Magento-Shop steht, wie wir SafeLine einsetzen und wo SSL/TLS terminiert wird.

Eine Web Application Firewall (WAF) filtert den HTTP-Verkehr, bevor er Magento überhaupt erreicht. Bei uns übernimmt das SafeLine — die erste aktive Verteidigungslinie vor jedem Shop, noch vor Varnish und Nginx.

ÖFFENTLICHESNETZHOSTERSICHERHEITSSCHICHT · DEINE INFRASTRUKTURWEITERESCHICHTENInternetKunden · Bots · AngriffeHoster-FirewallHetzner · IONOS · …VOLUMETRISCHE DDoSOPNsenseFirewallLAYER 3 – 4SafeLineReverse ProxyBot Det. & WAFLAYER 5 – 7PARC SecurityBlacklists · IP-Gruppen · RegelnCacheAppDataungefilterter Trafficteilgefiltert (L3–4)sicherheitstechnisch gefiltert
Stufenweise Filterung als Ampel: ungefilterter Traffic (rot) wird zuerst von der Hoster-Firewall und OPNsense auf Netzwerkebene gefiltert (gelb). Die SafeLine WAF übernimmt dann auf Layer 5–7 die TLS-Terminierung und die inhaltliche Prüfung jeder Anfrage — SQL-Injection, XSS, Bot-Traffic, Credential-Stuffing (grün).

Was eine WAF macht — und was nicht

Eine WAF arbeitet auf der Anwendungsebene (Layer 7). Sie versteht HTTP-Requests und erkennt Angriffsmuster, die eine klassische Netzwerk-Firewall nicht sieht:

  • SQL-Injection und Cross-Site-Scripting (XSS) in Formularen, URL-Parametern und Headern
  • Bekannte Magento-Exploits — viele Angriffe zielen auf konkrete, gepatchte CVEs. Die WAF blockt die Angriffsmuster, auch wenn ein Patch mal verzögert eingespielt wird
  • Credential-Stuffing & Brute-Force auf Login- und Admin-Routen
  • Bad Bots & Scraper, die Katalog-Daten abgreifen oder Last erzeugen

Wichtig zur Ehrlichkeit: Eine WAF ist kein Ersatz für Patches. Sie ist eine zusätzliche Schicht, die Zeit verschafft und breite Angriffswellen abfängt — die eigentlichen Sicherheitslücken gehören trotzdem gepatcht.

Warum SafeLine

SafeLine ist eine moderne Open-Source-WAF. Für uns passt sie aus den gleichen Gründen wie der Rest unseres Stacks:

  • Open Source — kein Vendor-Lock-in, kein Cloud-Zwang, läuft auf unserer eigenen Infrastruktur in Europa.
  • Kein Traffic über Dritt-Clouds — anders als Cloud-WAFs (Cloudflare etc.) verlässt der Traffic nicht unsere Infrastruktur. Relevant für Datenschutz und Souveränität.
  • Regelbasiert + Verhaltensanalyse — Signaturen für bekannte Angriffe plus Erkennung anomalen Verhaltens.

In unserer Architektur

SafeLine ist die äußerste aktive Schicht im Traffic-Pfad:

Internet → SafeLine WAF → OPNsense → Varnish → Nginx → Magento

Sauberer HTTP-Verkehr wird durchgereicht, verdächtiger blockiert oder zur Verifikation ausgebremst. Die Netzwerk-Firewall (OPNsense) arbeitet eine Ebene tiefer und regelt, welcher Traffic überhaupt zwischen den Schichten fließen darf.

SSL / TLS / HTTPS

Als äußerste Schicht im Traffic-Pfad ist SafeLine der natürliche Punkt für die TLS-Termination: Der HTTPS-Verkehr vom Browser endet hier, wird entschlüsselt, von der WAF geprüft und intern als HTTP an die nachfolgenden Schichten weitergereicht.

  • HTTPS erzwungen: Sämtlicher HTTP-Verkehr wird auf HTTPS umgeleitet (301), kein unverschlüsselter Zugriff auf den Shop.
  • Aktuelle TLS-Versionen: TLS 1.2 / 1.3, veraltete Protokolle (SSLv3, TLS 1.0/1.1) sind deaktiviert.
  • Zertifikate: Let’s Encrypt mit automatischer Erneuerung, oder dein eigenes Zertifikat (z.B. EV/OV) auf Wunsch.
  • HSTS wird gesetzt, damit Browser den Shop nur noch über HTTPS aufrufen.
  • Intern HTTP: Hinter der Termination sprechen Varnish, Nginx und Magento untereinander HTTP — das vereinfacht Caching, Debugging und Zertifikats-Handling, ohne die Sicherheit nach außen zu schwächen.

Rate-Limiting & DDoS

  • Rate-Limiting auf sensiblen Routen (Login, Checkout, Such-Endpoints) gegen Brute-Force und Ressourcen-Erschöpfung.
  • DDoS-Mitigation auf Anwendungsebene — Layer-7-Floods (z.B. massenhaft teure Such-Requests) werden erkannt und gedrosselt, bevor sie PHP-FPM und Datenbank belasten.
  • Volumetrische Netzwerk-Angriffe (Layer 3/4) fängt die Firewall-Ebene bzw. der Hosting-Provider ab.

Kontakt aufnehmen