Internetin gelişimi ile beraber web uygulamaları kurumlar için dahili ve harici müşterilerine açılan bir kapı olmuştur. Böylece web’in standardı olan HTTP protokolü artan tehdit ve saldırıların hedefine oturmuştur. Bu sebeple kurumlar için HTTP trafiği ve web uygulamalarının güvenliği kritik bir öneme sahiptir.
Web Application Firewall (WAF) bir web uygulamasına gelen ve giden tüm HTTP trafiğine filtreleme, izleme ve bloklama yaparak web uygulamasını saldırı ve tehditlere karşı korumaktadır. WAF ürünlerinin diğer klasik firewall çözümlerinden farkı, tamamen HTTP/S trafiği üzerinde web uygulamasına ait içeriği filtreleyebilmesi, bu trafik üzerinde politika belirleyebilmesi ve tamamen uygulama katmanı (layer 7) seviyesinde çalışmasıdır. Özellikle cross-site-scripting (XSS), SQL injection, cookie poisoning gibi uygulama katmanı seviyesindeki ataklara karşı web uygulamasını koruma altına alır.
WAF genellikle politika adı verilen bir dizi kural ile çalışır. Bu politikalar kötü amaçlı trafiği filtreleyerek uygulamadaki güvenlik açıklarına karşı korumayı amaçlar. Kısacası HTTP/HTTPS/SOAP/XML/Web Servisleri üzerinde detaylı paket incelemesi yaparak zararlı istekleri bloklamak için kullanılan bir araçtır diyebiliriz.
Uluslararası bazı standartlar WAF kullanımını önemle tavsiye etmektedir. Bunların başında WAF kullanımını zorunlu tutan PCI Veri Güvenliği standartı geliyor. Kurumların karşılaştığı web saldırılarından korunmak için bazı kurumlar kaynak kod analizi yaptırma yolunu seçerler. Fakat kaynak kod analizinde sadece incelenen kodun güvenliği denetleneceği için tam koruma sağlamayacaktır. WAF ise önüne konulduğu sisteme gelen her türlü saldırıyı farkedip önleyebileceği için kısa vadede daha pratik çözümler sunmaktadır.