Een WAF (Web Application Firewall) is een beveiligingslaag die HTTP(S)-verkeer naar een webapplicatie filtert. Waar een gewone firewall werkt op basis van IP-adressen en poorten, begrijpt een WAF de inhoud van webverzoeken en blokkeert aanvallen zoals SQL-injectie en cross-site scripting.
Een WAF zit voor de webapplicatie, vaak als onderdeel van een reverse proxy of CDN. Alle HTTP(S)-verzoeken passeren de WAF voordat ze de applicatie bereiken.
Een WAF is geen vervanging voor veilige code. Het is een extra verdedigingslaag die bekende aanvalspatronen herkent, maar nieuwe of verborgen aanvallen kan missen.