Web应用防护墙（Web Application Firewall，简称WAF）是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品，主要用于防御针对网络应用层的攻击，一般攻击方式：跨站脚本攻击、参数篡改、应用平台漏洞攻击、拒绝服务攻击等手段层出不穷。

所以Web应用程序是攻击者认为值得“下手”的攻击目标，因为这些软件有足够的漏洞，因而是进入企业的比较容易的方式。

虽然典型的网络防火墙位于网络的外围，入侵防御系统(IPS)通常并不能理解Web应用协议逻辑，因而无法完全辨别应用层(即OSI的第七层)上的请求是否正常。然而Web应用防火墙可以防御网络防火墙无法防御的攻击，并能够根据一套完整的特征查找Web漏洞和攻击而实施保护，并且可以检测恶意的文件上传。适合采用Web应用防火墙的企业往往拥有面向公众的Web站点，或拥有服务于其客户或合作伙伴的网站。如果企业的关键数据位于Web应用程序之后，Web应用防火墙显得尤为重要。

同样，对于银行、电子商务零售商、保险公司以及使用互联网作为主要服务的企业，Web应用防火墙更为重要。由于意识形态或经济动机引起的攻击是安全事件的主要原因，现在每个企业都面临着高风险。如果能够正确部署Web应用防火墙，它就能够挫败应用层不断增加的攻击，同时可以为合法用户保留应用程序的访问。

Web应用程序的滋长导致Web服务器上可被利用的漏洞日益增多，再加上由此导致的破坏损失越来越严重，且保护许多面向互联网资产的相对有效性，企业都应部署Web应用防火墙。