Un Web Application Firewall (WAF) es un tipo de firewall específicamente diseñado para monitorear, filtrar y bloquear el tráfico HTTP entrante y saliente hacia y desde una aplicación web. Proporciona protección contra una variedad de ataques de aplicaciones web, incluidos SQL injection, cross-site scripting (XSS), y falsificación de solicitudes entre sitios (CSRF), entre otros.
Un WAF opera mediante la inspección del tráfico HTTP/HTTPS que pasa hacia y desde la aplicación web, utilizando un conjunto de reglas para identificar y bloquear intentos de ataque mientras permite el tráfico legítimo.
Puede ser implementado en varios modos: en línea, como un dispositivo independiente, o como un servicio en la nube. No necesariamente necesita estar instalado en el servidor web.
Aunque un WAF proporciona una capa crítica de seguridad, debe ser parte de un enfoque de seguridad en capas, complementando otras medidas como el endurecimiento de servidores, parcheo regular y codificación segura.
