WAF (Web Application Firewall) — фильтр на уровне HTTP (L7), защищает от application-level атак. Блокирует SQL injection, XSS, path traversal, SSRF и другие OWASP Top 10. Работает по правилам: ModSecurity (open source), или managed (Cloudflare WAF, AWS WAF). Анализирует headers, body, URL каждого запроса. Режимы: detect (логирует) и block (отклоняет). Для API: проверяет JSON payload, rate limit по endpoint, geo-blocking. В Go приложении WAF обычно стоит перед ним — nginx + ModSecurity или cloud WAF. Не заменяет валидацию в коде, но добавляет слой защиты.