Las organizaciones deben ver las capacidades que WAF puede proporcionar que las aplicaciones web tradicionales no proporcionan (o, por lo general, no están codificadas para proporcionar).
Por ejemplo, los WAF generalmente tienen algún tipo de mecanismo de "respuesta" incorporado. En caso de un ataque, pueden responder automáticamente para proteger la aplicación. Esto puede incluir protección contra fuerza bruta, DOS (hasta cierto punto) y prohibir solicitudes de ciertas direcciones IP. Podría codificar su aplicación para hacer esto, pero un WAF está en su perímetro. Es mejor detener el tráfico malicioso allí y luego más en su red. Además, un WAF basado en la red puede proteger varios sitios web, tal vez reduciendo el tiempo de desarrollo requerido.
Un beneficio clave es la detección de ataques / registros. Si su WAF está detectando un ataque, puede pasar esa información a una solución SIEM. El WAF tiene firmas para detectar ataques contra una variedad de backends, no solo el que creaste. Su personal de seguridad podría luego usar esa información para determinar el mejor curso de acción. Quizás lo correlacionan con otros ataques que están ocurriendo, etc.
Otra característica clave es que WAF se puede usar para proteger el servidor web y la aplicación web. Por ejemplo, los WAF se pueden configurar para detener los ataques de desbordamiento de búfer contra IIS. Su aplicación web no puede hacer esto.
Por último, los WAF se pueden usar para hacer "parches virtuales". Por ejemplo, supongamos que descubre que su aplicación web tiene un agujero de seguridad si se le envía una solicitud en particular. Usted podría, por supuesto, cambiar el código. Pero esto puede llevar tiempo (administración de cambios, lograr que el desarrollador escriba algo, realizar pruebas, etc.). Mientras espera un parche del equipo de desarrollo, se podría crear una firma para "proteger" el sitio web de ese vector de ataque.
Una cosa para agregar es la respuesta de @Lucas Kauffmans. La seguridad tiene que ver con las capas. No puede estar seguro de que su aplicación web está "completamente" segura. Agregar otra capa frente a eso no duele.
Los WAF han sido un tema candente desde que se introdujeron por primera vez con muchas personas de seguridad a ambos lados del debate "lo necesito / no lo necesito". Creo que todo se reduce a las capacidades que necesita para su situación dada.