Embora o WAF seja usado principalmente para proteger sites, formulários, APIs ativos etc., às vezes também é necessário usar o WAF na frente do conteúdo público estático.
Por exemplo: Como impedir o hotlink usando o AWS WAF, o Amazon CloudFront e a verificação de referências
Outro exemplo pode ser se parte do seu conteúdo estático não é totalmente público (por exemplo, confiar em nomes de arquivos aleatórios complexos - não que isso ofereça uma grande segurança) e você deseja limitar as tentativas de acesso de força bruta - é aí que o WAF pode ajudar também.
Portanto, a resposta à sua pergunta é: Sim, às vezes o WAF pode ser usado para conteúdo estático . No entanto, estes são casos de uso bastante específicos e se é ou não relevante para o seu site, não posso dizer.
Por outro lado, mesmo se você iniciar sem WAF e mais tarde descobrir que algo
Espero que ajude:)