Se você precisar de algo que inspecione o conteúdo das solicitações HTTP e faça inferências a partir disso, decidindo se deseja bloquear a solicitação ou não (talvez com base em solicitações durante um período de tempo), então sim, você precisa de algo diferente dos grupos de segurança da AWS. Os grupos de segurança são efetivamente apenas regras de firewall do tipo iptables, permitindo a permissão / negação de conexões individuais com base apenas em endereços IP de origem / destino + portas.
Escolher que tipo de WAF é apropriado é uma questão muito maior. Você pode ir a qualquer lugar usando algo instalado diretamente em seu servidor da web (por exemplo, mod_security no Apache), até um dispositivo separado. Decidir o que usar dependerá inteiramente da natureza das ameaças das quais você deseja se proteger.