Een Web Application Firewall (WAF) is een beveiligingsoplossing die HTTP/HTTPS-verkeer tussen het internet en een webapplicatie monitort, filtert en blokkeert ter bescherming tegen veelvoorkomende webaanvallen. Het werkt op de applicatielaag (Laag 7 van het OSI-model) en kan beschermen tegen dreigingen als SQL-injectie, cross-site scripting (XSS), bestandsinclusie en andere OWASP Top 10-kwetsbaarheden. WAFs kunnen worden ingezet als hardwareapparaten, softwareoplossingen of cloudgebaseerde diensten.
Het inzetten van een WAF biedt een belangrijke verdedigingslaag voor webapplicaties, met name wanneer het snel patchen van applicatiekwetsbaarheden niet haalbaar is. Moderne WAFs bieden adaptieve regelsets, botdetectie en API-beschermingsmogelijkheden die verder gaan dan traditionele op handtekeningen gebaseerde filtering. Een WAF dient echter een aanvulling te zijn op, en geen vervanging van, veilige codeerpraktijken en regelmatige kwetsbaarheidsanalyses als onderdeel van een defence-in-depth-strategie.