Web application firewall merupakan suatu metode sebagai pengamanan dari serangan pada aplikasi web. Implementasi web application firewall dapat memblokir beberapa serangan, dari sisi permasalahan keamanan dapat di lakukan analisis seberapa efisien web application firewall dalam melindungi aplikasi web. Pada penelitian ini implementasi dan analisis web application firewall dilakukan berdasarkan vulnerability dan threat dalam pengujian serangan pada aplikasi web yang telah terpasang web application firewall sebagai control. Object yang digunakan yaitu DVWA (Damn Vulnerability Web Application) dengan tujuan untuk mengetahui vulnerability dan threat. Eksperimen dilakukan berdasarkan standar PTES (Penetration Testing Execution Standard) sebagai dasar untuk eksploitasi terhadap lima kerentanan. Web application firewall mampu memblokir tiga serangan yaitu SQL Injection, Cross-Site Scripting, Local File Inclusion. Berdasarkan total serangan yang dilakukan, dapat digunakan sebagai analisis kuantitatif yaitu sebesar 60%. Sedangkan secara kualitatif, menggunakan hasil vulnerability scanning dengan Acunetix berdasarkan tingkat severity kerentanan yang dapat diamankan oleh web application firewall.
Kata kunci : web application firewall, vulnerability, threat, control, PTES.