Нужно ли использовать WAF при использовании NGFW?

Это разные продукты, которые служат для решения разных задач. NGFW используется для разграничения доступа к сегментам сети, тогда как WAF применяется для защиты веб-приложений и сервисов, использующих HTTP в качестве транспорта. В функциональность FortiGate входят базовые возможности по защите веб-приложений, например защита от SQL-инъекций или XSS-атак, и вы можете использовать эти возможности для защиты некритических или внутренних веб-сервисов. В случае если нарушение работоспособности веб-приложений может повлечь за собой серьезные финансовые или репутационные риски, то для их защиты рекомендуется использовать полноценное решение класса Web Application Firewall. С возможностями функциональности WAF в NGFW вы можете ознакомиться в документации.