WAF又叫Web应用防护系统，也称为：网站应用级入侵防御系统。英文：Web Application Firewall。一般是指Web应用防火墙通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。　

而我们通常说的防火墙其实是指一种技术。它是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。

WAF是随着Web的日益流行实现Web应用防护的一类新型安全产品，它与传统的IPS（Intrusion Prevention System，入侵防御系统）在某些防护效果上有功能重叠的部分（例如防止SQL注入攻击），但两款产品在工作原理、市场定位、功能特点、部署模式等方面存在显著差异。可以说，WAF防火墙是对运营Web应用的具备一定防护能力的网络环境的Web攻击防护能力的必要增强。IPS和IDS（intrusion detection system，入侵检测系统）是该网络环境必备的基础设备。

WAF的出现是由于传统防火墙无法对应用层的攻击进行有效抵抗，并且IPS也无法从根本上防护应用层的攻击。因此出现了保护Web应用安全的Web应用防火墙系统(简称“WAF”)。主要针对HTTP访问的Web程序保护。

WAF部署在Web应用程序前面，在用户请求到达Web服务器前对用户请求进行扫描和过滤，分析并校验每个用户请求的网络包，确保每个用户请求有效且安全，对无效或有攻击行为的请求进行阻断或隔离。　

而且Web防火墙产品是部署在Web服务器的前面，串行接入，不仅在硬件性能上要求高，而且不能影响Web服务，所以HA功能、Bypass功能都是必须的，而且还要与负载均衡、Web Cache等Web服务器前的常见的产品协调部署。