Webサーバ上で運用されるWebアプリケーションには保安上の弱点(脆弱性)が存在する場合があり、外部の攻撃者がこれを悪用して遠隔操作や秘密の情報の詐取などの不正アクセスを行う場合がある。本来はサーバ側のソフトウェアの監視や修正に努め、脆弱性をすみやかに排除することが望ましいが、様々な事情から即時に対応できない場合がある。
WAFはWebサーバへの通信を常に監視し、時系列の通信記録(ログ)として保管する。また、あらかじめ登録された不審なアクセスのパターンを検知したり、送受信されるデータ中に特定のパターン(個人情報に似た形式のデータなど)を発見すると、通信に介入してアクセスをブロックする。
WAFは専用のハードウェアとして実装されたものと、ゲートウェイなどのサーバ上で動作させるソフトウェア、また、Webサーバ自体に組み込むモジュールの形になっているものがある。Webサーバと別になっているタイプの製品はネットワークの入り口付近に設置して複数のWebサーバを守ることもできる。
動作モードとしては、リバースプロキシとして動作するものとアクセスを透過させるものに分かれる。SSL/TLSで通信が暗号化されていると通信内容を解析することができないため、WAF自身がTLS通信の終端となって暗号化を解除してWebサーバへ取り次ぐような動作設定にしたり、SSLアクセラレータとWebサーバの中間に設置する必要がある。
