یک فایروال (Firewall) است که بسته‌های داده ای که به یک نرم‌افزار وارد می‌شود و یا از آن خارج می‌گردد را نظاره، فیلتر و یا بلاک می‌کند. یک WAF می‌تواند شبکه‌محور، هاست‌محور و یا مبتنی بر فناوری Cloud باشد و اغلب از طریق یک Proxy راه‌اندازی می‌شود و در جلوی یک یا چند نرم‌افزار مبتنی بر وب قرار می‌گیرد.

 یک WAF برای دفاع در برابر همه حملات طراحی نمی‌شود بلکه این روش بخشی از یک مجموعه ابزار است که با هم تشکیل یک دفاع مستحکم در مقابل حملات و آسیب‌های مختلف می‌دهند. WAF قادر است نرم‌افزار را از حملات زیر محافظت کند :

• حملات Cross-Site Scripting ) XSS)
• SQL injection
• سرقت نشست ( Session Hijacking )
• Buffer Overflow

با راه‌اندازی یک WAF در مقابل یک نرم‌افزار، میان نرم‌افزار تحت وب و اینترنت یک سپر ایجاد می‌شود. در حالی که یک سرور proxy با استفاده از یک واسط، از هویّت ماشین client محافظت می‌کند، یک WAF یک نوع reverse-proxy است که سرور را در مقابل آسیب‌پذیری بیمه می‌کند. WAF از طریق policy هایی که دارد ترافیک‌های آسیب‌رسان را فیلتر می‌کند و ارزش آن، جایی مشخص می‌شود که سرعت و آسانی تغییر policy ها پاسخگویی سریعتر را در مقابل حملات مختلف به ارمغان می آورد.