Aplikacje oparte na technice webowej stały się powszechnym elementem infrastruktur biznesowych. Wnoszą one jednak wysoki poziom ryzyka utraty bezpieczeństwa dla organizacji opierających działalność na tego typu rozwiązaniach.

Duże wolumeny istotnych informacji wymienianych za pośrednictwem aplikacji webowych - przechowywane w bazach danych poza tymi aplikacjami - stanowią pokusę dla hakerów i wandali, którzy wykorzystują strukturalne i programowe wady tych rozwiązań.

Aplikacyjne zapory ogniowe to technologia przystosowana do ochrony przed tymi zagrożeniami. Stosuje się w niej specjalne reguły w odniesieniu do ruchu specyficznego dla weba, z jednoczesnym utrzymaniem odpowiedniej wydajności sieci.

Aplikacyjne zapory ogniowe zapewniają ochronę niezbędną w sytuacjach, kiedy szkodliwy ładunek przychodzi "opakowany" w strukturę legalnego ruchu. Najbardziej niebezpieczne wykorzystanie luk w aplikacjach nie dotyczy przypadłości wykrywanych przez zwykłe zapory ogniowe, takich jak źle sformowany ruch sieciowy, zbyt długie pakiety, brak zgodności pomiędzy zawartością a adresem itp. Wyrafinowane ataki wykorzystują specyficzne łańcuchy komend, podmianę cookies lub zmiany ukryte w różnych formach plików.

Strategia obronna aplikacyjnych zapór ogniowych polega na kontroli zawartości każdego pakietu i porównywaniu tego ładunku z regułami zgromadzonymi na podstawie obserwacji zwykłych transakcji pomiędzy użytkownikami a aplikacją. Pod lupę brane są obie strony transakcji, co pozwala rozpoznać ukryte ataki i nieoczekiwane zachowania.

W ochronie aplikacji webowych jest stosowane podejście dwustopniowe. Po pierwsze, można skanować aplikacje pod kątem słabych punktów, a z chwilą wykrycia nieszczelności można uruchomić właściwą ochronę.

Ustala się także podstawowy zestaw polityk, które wymuszają zgodność ruchu HTTP i HTTPS z regułami bezpieczeństwa.

Ustanawianie tych reguł obejmuje: określanie zachowań niedozwolonych (w niektórych przypadkach również zachowań dopuszczalnych) oraz wskazanie rodzaju akcji i powiadamiania.

Poza ochroną samej aplikacji można ochraniać także wrażliwe informacje, rozpoznając i blokując transmisje numerów kart kredytowych z aplikacji przesyłanych w odpowiedzi na kwerendy użytkowników.

Implementacja w postaci urządzenia (appliance), często zbudowana na platformie Linux, daje istotną przewagę wydajnościową nad rozwiązaniami czysto programowymi. Sieciowe mechanizmy implementowane przez firmware - obejmujące często wsparcie VLAN i rozkładanie obciążeń - dają możliwość kontroli ruchu, dla którego inne rozwiązania potrzebują zwielokrotnionego powielenia.