Eine WAF (Web Application Firewall) filtert und überwacht den HTTP/HTTPS-Verkehr zwischen Internet und Webanwendung. Sie erkennt und blockiert typische Angriffe wie SQL-Injection, Cross-Site Scripting (XSS) und Path Traversal. Im ISMS ist eine WAF eine technische Schutzmaßnahme für öffentlich erreichbare Webanwendungen. Sie ergänzt sichere Programmierung, ersetzt sie aber nicht. Gängige WAF-Lösungen arbeiten regelbasiert (OWASP Core Rule Set) oder mit maschinellem Lernen zur Anomalie-Erkennung.