DevOps 06. Juni 2026 ⏱ 14 Min Lesezeit
Cloudflare WAF einrichten – DDoS-Schutz & Bot-Filter 2026 | hostazar.com
Cloudflare WAF einrichten – DDoS-Schutz & Bot-Filter 2026 | hostazar.com

— Anzeige —

Google AdSense Platzhalter

Warum Cloudflare WAF 2026 unverzichtbar ist

Die Bedrohungslandschaft im Web hat sich 2026 erneut dramatisch zugespitzt. Automatisierte Scan-Bots, credential-stuffende Botnets, AI-gestützte Scraping-Tools und Layer-7-DDoS-Wellen gehören für jeden ernsthaften Webseiten-Betreiber zum Alltag. Laut dem aktuellen OWASP Top 10 Report 2025 führen Broken Access Control (A01), Cryptographic Failures (A02) sowie Injection (A03) mit SQL-Injection und Cross-Site-Scripting (XSS) weiterhin die Liste der kritischsten Web-Schwachstellen an. Hinzu kommen neue Kategorien wie Server-Side Request Forgery (SSRF) und Software & Data Integrity Failures, die durch die zunehmende API-Vernetzung immer relevanter werden.

Eine klassische Web Application Firewall (WAF) sitzt als reverse Proxy zwischen Client und Origin-Server und analysiert ein- und ausgehenden HTTP-Traffic in Echtzeit. Im Unterschied zu einer Netzwerk-Firewall auf OSI-Layer 3/4 versteht eine WAF den Application-Layer (L7) – sie liest Header, Cookies, Query-Parameter und POST-Bodies und kann dadurch typische Angriffsmuster wie UNION SELECT oder <script>-Payloads blockieren, bevor sie deine Anwendung erreichen.

Cloudflare ist in diesem Segment der Platzhirsch: Mit einem globalen Anycast-Netzwerk aus über 330 Städten absorbiert das Unternehmen Angriffsspitzen im Petabit-Bereich, ohne dass dein Origin-Server ein Paket davon sieht. Für Self-Hoster und DevOps-Teams ist die WAF deshalb die erste Verteidigungslinie, noch bevor Fail2ban, ModSecurity oder eine lokale iptables-Regel ins Spiel kommen. Wer 2026 einen VPS betreibt und nicht hinter Cloudflare steht, verschenkt massiv Sicherheit – und im Zweifel Performance, da Caching, Brotli-Kompression und HTTP/3 gratis mitgeliefert werden.

Was ist die Cloudflare WAF? Komponenten im Überblick

Die Cloudflare WAF ist keine monolithische Funktion, sondern ein Bündel aus mehreren, aufeinander aufbauenden Schutzschichten. Wer das Zusammenspiel versteht, kann die Regeln gezielt feinjustieren.

1. Managed Rules (Cloudflare Managed Ruleset): Das ist das Herzstück. Cloudflare pflegt ein eigenes Regelwerk mit hunderten Signaturen, die kontinuierlich aktualisiert werden – basierend auf Erkenntnissen aus dem globalen Traffic, CVE-Datenbanken und dem OWASP-Katalog. Die Regeln sind in mehrere Sets gegliedert: Cloudflare Managed Ruleset (Basis-Schutz), Cloudflare OWASP Core Ruleset (Parallele zum OWASP CRS für ModSecurity) und Cloudflare Leaked Credentials Check. Jede Regel hat eine eindeutige ID, einen Score (Anomaly-Score-Modell) und lässt sich einzeln im Modus Block, Challenge (CAPTCHA), JS Challenge oder Log schalten.

2. Rate Limiting Rules: Damit deckelt man die Anzahl erlaubter Requests pro IP, Pfad, API-Key, ASN oder Land in einem definierten Zeitfenster. Klassiker: 5 Login-Versuche pro Minute pro IP, 100 API-Calls pro 10 Sekunden pro Token. Rate-Limits sind die schärfste Waffe gegen Brute-Force, Credential-Stuffing und aggressive Crawler.

3. Bot Management & Super Bot Fight Mode: Cloudflare klassifiziert jeden Request anhand von Heuristiken, TLS-Fingerprint (JA3/JA4), HTTP/2-Frame-Verhalten und Machine-Learning-Modellen in die vier Kategorien Definitely Automated, Likely Automated, Verified Bot (z. B. Googlebot) und Human. Der Super Bot Fight Mode ist in Pro/Business verfügbar, das vollwertige Bot Management mit ML-Heuristik und JS-Challenge ist Enterprise-Feature.

4. Custom Rules: Dein eigenes Regelwerk, geschrieben in der Cloudflare-eigenen Expression-Language (basierend auf Wirefilter). Damit filterst du alles, was die Managed Rules nicht abdecken – Länder-Blocks, IP-Range-Blacklists, User-Agent-Filter, URL-Pfad-Schutz, JSON-Body-Inspektion und vieles mehr.

Kostenlose vs. Pro vs. Business – Tarifvergleich 2026

Cloudflare bietet vier Pläne: Free, Pro (ca. 25 USD/Monat), Business (ca. 250 USD/Monat) und Enterprise. Die WAF ist nicht in allen Tarifen identisch mächtig – hier die wichtigsten Unterschiede für 2026:

  • Free: Basis-WAF mit vorgefertigten Regeln (SQLi, XSS), Bot Fight Mode (Light), unbegrenzte DDoS-Mitigation auf L3/L4/L7, 1 Rate-Limiting-Regel. Für kleine WordPress-Seiten völlig ausreichend.
  • Pro: Vollständiges Managed Ruleset mit ~600 Regeln, Super Bot Fight Mode, erweiterte Analytics (30 Tage), 10 Rate-Limiting-Regeln, Web Analytics mit Core Web Vitals, Image Resizing. Ideal für mittelgroße Projekte und E-Commerce.
  • Business: Erweiterte WAF mit 1.000+ Signaturen, granulare Bot-Konfiguration, 100% SLA, priorisierter Support, 15-Minuten-Update-Garantie für CVEs, erweiterte Logs. Für Unternehmen mit Compliance-Anforderungen.
  • Enterprise: Bot Management mit ML-Modellen (Bot Score 1–99), 24/7-SOC-Support, Magic Transit für L3-DDoS, dedizierter Account-Manager, unbegrenzte Rate-Limits, Audit-Logs und SIEM-Integration.

Unsere Empfehlung: Für die meisten Self-Hoster und kleinen DevOps-Teams reicht der Free-Tarif bereits für 90 % der Angriffe aus. Wer eine E-Commerce-Seite mit Login-Bereich betreibt, profitiert vom Pro-Tarif – wegen des Super Bot Fight Mode und der besseren Analytics. Business lohnt sich erst ab 50.000 Visits pro Tag oder bei sensiblen Daten.

Schritt-für-Schritt: Cloudflare WAF im Dashboard aktivieren

Die Einrichtung dauert etwa 10 Minuten, wenn Domain und DNS-Records bereits stimmen. Du brauchst lediglich einen Cloudflare-Account, die Kontrolle über die Nameserver deiner Domain und Zugriff auf das Dashboard unter dash.cloudflare.com.

1. Domain hinzufügen: Klicke im Dashboard auf „+ Add a Site", gib deine Domain ein (z. B. deinedomain.de) und wähle den passenden Plan. Cloudflare scannt automatisch die bestehenden DNS-Records – prüfe genau, dass alle wichtigen A-, AAAA-, CNAME- und MX-Records korrekt übernommen wurden, damit weder Webseite noch E-Mail ausfallen.

2. Nameserver umstellen: Cloudflare gibt dir zwei eigene Nameserver (z. B. ada.ns.cloudflare.com und bob.ns.cloudflare.com). Diese trägst du bei deinem Domain-Registrar (z. B. InterNetX, Hetzner, IONOS) ein. Die Propagation dauert je nach TTL zwischen 5 Minuten und 24 Stunden.

3. SSL/TLS-Modus wählen: Unter „SSL/TLS" wählst du „Full (Strict)" – Cloudflare baut eine verschlüsselte Verbindung zum Origin-Server auf, dessen Zertifikat vertrauenswürdig sein muss. Kombiniere das mit einem Let's-Encrypt-Zertifikat auf deinem VPS, wie wir es im SSL-Guide beschreiben.

4. WAF aktivieren: Navigiere zu „Security → WAF". Unter „Managed Rules" siehst du die drei Standardregelwerke. Klicke auf „Cloudflare Managed Ruleset" und stelle die Aktion für jede Regel auf „Block" – Cloudflare empfiehlt für die meisten Regeln den Modus „Challenge" (JS Challenge) als Mittelweg, um False Positives zu reduzieren.

5. Bot Fight Mode: Unter „Security → Bots" aktivierst du den „Bot Fight Mode" (Free) oder „Super Bot Fight Mode" (Pro/Business). Setze „Definitely Automated" auf „Block" und „Verified Bots" (z. B. Google, Bing, PayPal) auf „Allow".

6. Testen: Öffne deine Webseite im Inkognito-Modus und prüfe, ob alles normal lädt. Teste insbesondere Login-Bereiche, Kommentar-Funktionen und API-Endpoints. Sollte etwas blockiert werden, findest du die Ursache unter „Security → Events".

Custom Rules: Eigene Filterregeln erstellen

Custom Rules sind der mächtigste Hebel, den du als Administrator hast. Unter „Security → WAF → Custom Rules" baust du Regeln nach dem Prinzip IF-Bedingung → THEN-Aktion. Die Cloudflare Expression-Syntax ist Wirefilter-basiert und sehr ausdrucksstark.

Beispiel 1: Länder-Block (z. B. Russland und China komplett sperren):

(ip.geoip.country in {"RU" "CN" "KP" "IR"})

Als Aktion wählst du „Block". Diese Regel reduziert sofort einen Großteil des Massen-Scanner-Traffic aus diesen Regionen. Achtung: Prüfe vorher, ob du tatsächlich keine legitimen Besucher aus diesen Ländern erwartest – sonst gehen dir Kunden verloren.

Beispiel 2: SQLi auf Login-Formular blockieren:

(http.request.uri.path eq "/login") and
(http.request.method eq "POST") and
(any(http.request.body.raw contains "' OR 1=1--") or
 any(http.request.body.raw contains "UNION SELECT") or
 any(http.request.body.raw contains "DROP TABLE"))

Diese Regel inspiziert den POST-Body des Login-Endpoints und blockt klassische SQLi-Payloads. Noch eleganter: Setze die Aktion auf „Managed Challenge" (JS Challenge), damit legitime User mit ungewöhnlichen Zeichen im Passwort nicht ausgesperrt werden.

Beispiel 3: XSS-Block im Query-String:

(http.request.uri.query contains "<script") or
(http.request.uri.query contains "javascript:") or
(http.request.uri.query contains "onerror=") or
(http.request.uri.query contains "onload=")

Beispiel 4: IP-Range-Blacklist (Bekannte Angreifer-ASNs):

(ip.src in {203.0.113.0/24} or
 ip.src in {198.51.100.0/24} or
 ip.geoip.asnum in {12345 67890})

Wichtig: Custom Rules werden in der Reihenfolge ihrer Priorität (1 = höchste) abgearbeitet. Plane daher kritische Allow-Regeln für Monitoring-Services oder eigene IPs ganz oben, damit sie nicht versehentlich von einer nachgelagerten Block-Regel erwischt werden.

Rate Limiting Rules gegen Brute-Force-Angriffe

Eine eigene H2-Sektion verdient das Rate Limiting, weil es die effektivste Waffe gegen automatisierte Login-Attacken ist. Cloudflare unterscheidet zwischen klassischem Rate Limiting (alte Engine) und dem neueren „Rate Limiting Rules" (in den WAF-Bereich integriert). Wir empfehlen Letzteres.

Beispiel: Login-Endpoint gegen Brute-Force absichern.

Expression:
(http.request.uri.path eq "/wp-login.php" or
 http.request.uri.path eq "/login") and
(http.request.method eq "POST")

Rate:
- 5 Requests pro 10 Sekunden pro IP
- Aktion: "Block" für 60 Sekunden
- Mitigation Timeout: 600 Sekunden

Konfiguration im Dashboard unter „Security → WAF → Rate Limiting Rules". Achte darauf, den Pfad exakt zu matchen – ein Tippfehler macht die Regel wirkungslos. Für WordPress ist /wp-login.php der Standardpfad, bei Nextcloud /login.

Noch smarter: Kombiniere das Rate Limit mit einem Bot Score, damit nur als „Likely Automated" klassifizierte Requests in die Zählung einfließen – so werden echte Nutzer nicht versehentlich geblockt, wenn sie ihr Passwort mehrfach falsch eingeben.

Bot Management: Googlebot vs. Bad Bots unterscheiden

Bot-Traffic macht laut aktuellen Studien 40–50 % des gesamten Web-Traffic aus – Tendenz steigend. Nicht jeder Bot ist schlecht: Googlebot, Bingbot, DuckDuckGo, Applebot wollen deine Seite indexieren und bringen dir organischen Traffic. GPTBot, Common Crawl, ClaudeBot scrapen für AI-Training – neutral bis nützlich. AhrefsBot, SemrushBot, MJ12bot sind SEO-Tools, die du je nach Geschäftsmodell entweder erlauben (für Sichtbarkeit) oder blockieren willst (Bandbreite sparen). Scrapy, PhantomJS, Selenium-basierte Bots sind meist schädlich: Sie stehlen Preise, Content oder probieren Login-Daten.

Cloudflare erkennt verifizierte Bots (Google, Bing etc.) über Reverse-DNS-Lookups und IP-Allowlisten. Du kannst unter „Security → Bots → Verified Bots" exakt konfigurieren, welche Bots passieren dürfen. Für die Unterscheidung „Human vs. Automated" kommt der Bot Score ins Spiel (Enterprise) bzw. die Super-Bot-Fight-Mode-Kategorien (Pro/Business).

Best Practice 2026: Erlaube explizit Googlebot, Bingbot, Applebot, GPTBot (oder blocke ihn je nach Geschäftsmodell). Blocke „Definitely Automated" kategorisch. Setze „Likely Automated" auf „JS Challenge" – Bots mit Headless-Browser schaffen das, einfache Scraper nicht. SEO-Tools wie AhrefsBot kannst du gezielt mit einer User-Agent-Regel behandeln.

DDoS-Schutz: L3/L7, Magic Transit und Always Online

Cloudflare wirbt zu Recht damit, dass es „unlimited DDoS protection" bietet – und das ist in der Praxis tatsächlich beeindruckend. Das Netzwerk absorbiert SYN-Floods, UDP-Amplification, NTP-Reflection und alle klassischen Layer-3-/4-Attacken kostenlos, ohne dass du konfigurieren musst. Für Layer-7-DDoS (HTTP-Floods) greifen die WAF-Regeln und Rate Limits.

Für Enterprise-Kunden gibt es zusätzlich Magic Transit: Dabei wird das gesamte IP-Subnetz deines Rechenzentrums oder Dedicated Servers über BGP ins Cloudflare-Netzwerk geroutet. Magic Transit schützt Layer-3-DDoS von mehreren Terabit pro Sekunde – Skala, die kein einzelner Anbieter selbst stemmen könnte. Für 99 % der Webseiten ist das irrelevant, weil der Origin-Server ohnehin hinter Cloudflare versteckt ist und die IP nicht öffentlich bekannt sein sollte.

Ein oft unterschätztes Feature: Always Online und Under Attack Mode. Ersteres hält eine gecachte Version deiner Seite bereit, falls dein Origin ausfällt. Letzteres aktiviert per Knopfdruck eine globale JavaScript-Challenge für alle Besucher – das stoppt selbst massive HTTP-Floods binnen Sekunden, ohne dass legitime User dauerhaft ausgesperrt werden.

Kombination mit Cloudflare Tunnel & Zero Trust

Wer 2026 Cloudflare konsequent nutzt, kombiniert die WAF mit Cloudflare Tunnel (wir haben das in unserem Cloudflare-Tunnel-Guide ausführlich beschrieben) und Cloudflare Zero Trust. Der Clou: Der Origin-Server hat keine öffentliche IP mehr, sondern wählt sich per Outbound-Verbindung zum nächsten Cloudflare-Pop. Das eliminiert eine ganze Klasse von Angriffen (Portscans, direkte SSH-Bruteforce, Exploits gegen vergessene Services) komplett.

Zero Trust ergänzt das um Application-Level-Authentifizierung: Statt VPN baust du pro Anwendung (z. B. Portainer, Grafana, internes Wiki) einen Tunnel mit Access-Policy. User authentifizieren sich per OTP, SAML oder OAuth, bevor sie überhaupt den Origin-Server erreichen. Kombiniert mit der WAF entsteht ein Defense-in-Depth-Modell, das auch für KMU und Solo-Self-Hoster realistisch umsetzbar ist.

Praktisches Beispiel: Du betreibst Portainer hinter Cloudflare Tunnel. Die WAF blockiert SQLi und XSS auf öffentlichen Endpoints. Zero Trust schützt Portainer selbst mit Email-OTP. Der SSH-Zugriff erfolgt ausschließlich über Cloudflare WARP-to-Tunnel. Selbst wenn ein Angreifer deine Origin-IP herausfindet, kann er nichts damit anfangen – alle Ports sind geschlossen.

Monitoring: Analytics, Security Events, Logs

Eine WAF ohne Monitoring ist wie ein Sicherheitsgurt, den niemand anlegt. Cloudflare bietet drei zentrale Stellen, um den Überblick zu behalten:

1. Security Analytics (Security → Analytics): Übersicht über alle blockierten, herausgeforderten und erlaubten Requests der letzten 24 Stunden bis 30 Tage (Pro/Business). Du siehst Top-Angriffsquellen (Länder, ASNs, User-Agents), Top-Regel-Auslöser, Traffic-Verläufe und Threat-Scores.

2. Security Events (Security → Events): Live-Stream jeder einzelnen blockierten Aktion mit IP, Land, ASN, User-Agent, Request-Methode, Regel-ID und Action. Wichtig zum Debuggen von False Positives. Hier findest du auch den Link „Add to Allowlist", um eine IP dauerhaft freizuschalten.

3. Logs (Account → Logs): Im Pro-Tarif bekommst du 7-Tage-Logs, im Business-Tarif 30 Tage, im Enterprise-Tarif unbegrenzt. Logs lassen sich per Logpush direkt an Datadog, Splunk, Elastic oder einen eigenen S3-Bucket streamen – ideal für SIEM-Integration. Selbst gehostete Alternativen wie ELK Stack oder Grafana Loki lassen sich so als zentrales Log-Storage einsetzen.

Häufige Fehler: False Positives, CAPTCHAs und SEO

Eine zu aggressive WAF richtet mehr Schaden an, als sie nutzt. Die häufigsten Stolperfallen in der Praxis:

1. Alle Regeln sofort auf „Block" setzen. Cloudflare Managed Rules sind konservativ formuliert, aber False Positives sind möglich – etwa wenn ein User in einem Suchformular versehentlich SQL-ähnliche Zeichen eingibt. Besser: Starte mit „Log" oder „Challenge", beobachte die Events eine Woche lang und stelle erst dann kritische Regeln auf „Block" um.

2. Verified Bots blockieren. Eine der schlimmsten Fehlkonfigurationen. Wenn du versehentlich Googlebot blockierst, verschwindet deine Seite aus dem Index. Prüfe die Liste der Verified Bots regelmäßig und pflege sie explizit. Auch Bingbot, Facebook- und Twitter-Crawler sollten erlaubt sein, wenn du Wert auf Link-Previews legst.

3. Globale CAPTCHAs auf der gesamten Seite. Captchas nerven Besucher und senken die Conversion. Beschränke JS-Challenges und CAPTCHAs auf verdächtige Requests (Bot Score, Land, ASN), nicht pauschal auf alle.

4. WAF aktiviert, Origin-IP trotzdem öffentlich. Die WAF schützt nur, wenn der Origin-Traffic ausschließlich über Cloudflare läuft. Schließe Port 80/443 in deiner Firewall für alle IPs außer den Cloudflare-IP-Ranges – eine regelmäßig aktualisierte Liste findest du unter cloudflare.com/ips.

5. WAF und WordPress Plugins doppeln. Wenn du Wordfence oder iThemes Security auf deinem Origin laufen hast, konkurriert die Cloudflare-WAF mit dem Plugin. Eine der beiden Schichten reicht – meistens ist die Cloudflare-WAF effektiver, weil sie Angriffe bereits am Edge stoppt.

Fazit: Cloudflare WAF ist 2026 Pflicht für jeden Webseiten-Betreiber

Die Cloudflare WAF ist 2026 die mit Abstand beste Wahl, wenn es um DDoS-Schutz, Bot-Filterung und OWASP-konforme Web-Sicherheit geht. Schon im kostenlosen Tarif bekommst du ein Managed Ruleset, Rate Limiting, Always Online und unbegrenzte DDoS-Mitigation – ein Schutzlevel, für das du bei anderen Anbietern vierstellige Beträge pro Monat zahlst. Für 25 USD pro Monat (Pro) bekommst du die volle Super-Bot-Fight-Mode-Power, 50 Rate-Limit-Regeln und erweiterte Analytics. Wer Enterprise-Kunden bedient, skaliert mit Business oder Enterprise in Bereiche, die früher nur Banken und Behörden vorbehalten waren.

Die Kombination aus Cloudflare WAF + Cloudflare Tunnel + Zero Trust bildet ein modernes Zero-Trust-Fundament, das auch Solo-Self-Hoster und kleine DevOps-Teams ohne Security-Spezialisten umsetzen können. In Kombination mit unseren weiteren Guides – VPS absichern, Linux Server härten, Webseite sichern und Cloudflare Tunnel einrichten – baust du dir eine Hosting-Infrastruktur, die „hält, was sie verspricht".

Hosting, das hält was es verspricht – genau das ist der Anspruch von hostazar.com. Wir testen die Tools, die wir empfehlen, im produktiven Einsatz und teilen unsere Erfahrungen transparent.

Empfohlene Hardware für deine Cloudflare-WAF-Infrastruktur

Hardware-Firewall (pfSense / OPNsense) auf Amazon ansehen →

USV / Unterbrechungsfreie Stromversorgung auf Amazon →

Managed PoE-Switch für Server-Rack auf Amazon →

VPS-Anbieter-Empfehlung: Für maximale Cloudflare-WAF-Performance empfehlen wir einen VPS bei Hetzner Cloud (ab 3,99 Euro/Monat, Frankfurt/Falkenstein) oder Netcup (ab 2,95 Euro/Monat, Wien/Nürnberg) – beide DSGVO-konform mit Standort in Deutschland/Österreich.

* Affiliate-Link. Als Amazon-Partner verdienen wir an qualifizierten Verkäufen.

Hardware für Homelabs & Edge-Setups

Raspberry Pi 5 8GB Kit auf Amazon ansehen →

Mini-PC mit Intel N100 / N305 auf Amazon →

Server-SSD NVMe 1TB auf Amazon →

* Affiliate-Link. Als Amazon-Partner verdienen wir an qualifizierten Verkäufen.

Monitoring, Logging & Sicherheitstools

YubiKey 5 NFC Hardware-Token auf Amazon →

Synology NAS 4-Bay für Log-Backups auf Amazon →

19-Zoll Mini-Server-Rack auf Amazon →

* Affiliate-Link. Als Amazon-Partner verdienen wir an qualifizierten Verkäufen.

— Anzeige —

Google AdSense Platzhalter (Ende)