Web Application Firewall
O que é um Web Application Firewall?
Parece ser um Firewall de camada 7, que inspeciona conteúdos de pacotes HTTP e HTTPS em busca de ataques XSS (Cross Site Scripting), SQL Injections, ataques DOS, DDOS, etc.
Ele pode ser considerado uma espécie de Proxy Reverso HTTP.
Não chega a ser um API Gateway porque não realiza roteamento.
Se você aplica boas práticas de desenvolvimento no seu software, com análise de código automatizada e testes, talvez não seja necessário usar um WAF (para evitar XSS, e SQL Injections).
Soluções WAF
Cloud Flare WAF
https://www.cloudflare.com/pt-br/learning/ddos/glossary/web-application-firewall-waf/