Web Application Firewalls (WAFs) sollen auf Anwendungsebene, allerdings ohne Eingriff in die Web-Applikation, dafür sorgen, dass Hacker keine Chance haben. Hauptaufgabe der WAFs ist laut Owasp, mittels Penetrationstests oder im Zuge von Sourcecode-Audits aufgespürte Sicherheitslücken, die bereits produktive Web-Anwendungen nach außen aufweisen, möglichst schnell abzudichten. Eine WAF arbeitet anders als die Netz-Firewall, die die Kommunikation zwischen Browser und Web-Anwendung nicht inhaltlich interpretiert, sondern primär analysiert, woher Datenpakete kommen und wohin sie geschickt werden. Eine WAF, die auf sämtliche vom Client-Browser an den Web-Server geschickten http-Daten zugreifen kann, überwacht und interpretiert speziell den ein- und ausgehenden Datenfluss der zu schützenden Applikation, um Anfragen mit verdächtigem Inhalt zu unterbinden.
Suspekte Aktionen erkennt eine WAF (ähnlich wie Virenscanner) mittels Regeln, Signaturen oder auch integrierten heuristischen Verfahren. Mittlerweile arbeiten auch WAFs meist nicht mehr nur mit einer Blacklist, die anhand bekannter Angriffsmuster nachweislich bösartige Anfragen unterbindet. Sie nutzen auch Positivlisten, mit deren Hilfe alles abgelehnt wird, was das Regelwerk nicht explizit als von der Anwendung gewünschtes Verhalten beschreibt, um so auch unbekannte Attacken abwehren zu können.
Verschiedenste Lernmodi, die es ermöglichen sollen, die aufwändige Pflege der Whitelists weitgehend zu automatisieren, sind zumindest bei führenden Anbietern im WAF-Segment wie Citrix, Barracuda Networks (nach der Übernahme von Netcontinuum) oder auch F5 mittlerweile Standard. Diese Hersteller vereinen in ihren Gateways WAFs mit Funktionen wie Load-Balancing und Caching. "Es gibt sowohl statische Lernfunktionen, die den Administrator vor der Inbetriebnahme schützen, als auch dynamische Modi, die während der Laufzeit die individuelle Benutzer-Session verfolgen und Zustände zu vorhergehenden Zeiten mit Zuständen zu nachfolgenden Zeiten vergleichen", so Security-Spezialist Strobel. Diese Dynamik lässt sich beispielsweise über eine Statustabelle im Hauptspeicher der WAF erzielen, die sich alle aus der zu schützenden Web-Anwendung ausgehenden Links beziehungsweise URLs "merkt" und nur die registrierten zulässt. Der Schweizer WAF-Anbieter Visonys wiederum realisiert dies in seinem als Software-Appliance konzipierten Produkt "Airlock" mittels URL-Verschlüsselung.
