ファイアウォールと一口に言っても実はいろいろある。一般的に知られているのは、送信元と送信先の情報（IPアドレスやポート番号など）を元にアクセスを制限するものだが、「WAF」は「Webアプリケーション」のレイヤーにおいて不正な通信を遮断するという違いがある。

ファイアウォールとは、ネットワークの境界に設置し、通信を制御するセキュリティ対策（機器）全般を指すが、その中で「WAF」は「Webアプリケーション」のレイヤーにおいて不正な通信を遮断する機能のことである。 一般的なファイアウォールは、OSI基本参照モデルにおけるネットワーク層（第3レイヤー）とトランスポート層（第4レイヤー）における通信の許可と拒否を管理するが、「WAF」はアプリケーション層（第7レイヤー）において動作する。

「WAF」は、前もって不正な通信や攻撃パターンに関する定義ファイル（シグネチャ）を用意しておき、アプリケーションのレベルにおけるプロトコルであるHTTP やHTTPSの通信内容を監視する。定義ファイルと合致する攻撃が検出されると通信を遮断し、ログとして記録する。また、アクセス元にもWebサーバーの代わりに警告メッセージを送信する。

例えば、WAFを導入していれば、組織内におけるWebアプリケーションの脆弱性をすぐに修正するのが困難な場合にも、不正なログインを防ぐことが可能となる。

一般的なファイアウォールもWAFも、いずれか一つだけ導入していれば対策が万全だというわけではない。特に通販サイトや動的コンテンツの多いサイトなどを防御するなら、WAFの装備は必須と言えるだろう。