個人的な経験談で参考になればと思い書かせていただきます。

1.WAFはSQLインジェクションやXSSから守るセキュリティとありましたがこれもファイヤーウォールと呼べる機能ですか？

一般的にファイアウォールのイメージだと不必要なアクセスをはじくという
イメージが多いと思いますのでファイアウォールと呼べるのではないでしょうか。
しかし、このあたりのニュアンスは会話などで使う場合は定義があいまいになりがちなので
具体的な事例まで落とし込んで確認する必要があると思います。

2.セキュリティグループはインバウンドアウトバウンドの制御以外に何ができるのですか？
自分の経験外のこととして書かせていただきます。
おそらくタグを設定することでサーバ環境を動的に動作させる場合
例えばサーバを増減したりする際にセキュリティグループも
動的に設定したり削除したり、設置場所を変えたりということができそうです。
AWS sdkやAWS cliなどを組み合わせてオンプレなどとも連携できるのかな？という印象でした。

3.セキュリティグループはインバウンドアウトバウンドの制御のルールを追加しても追加料金はかからないのですか？
こちらは自分の使用状況ではセキュリティグループに対しては
料金がかかっておりませんでした。

WAFとセキュリティグループの大きな違いとしては
設置場所があると思います。

WAFはたしかcloudfront,ALBに設置する形だったと思います。
セキュリティグループはサーバの間に設置するイメージです。
cloudfront＋WAF →　ALB　→　セキュリティグループ　→　EC2　→　セキュリティグループ　→　RDS
みたいなイメージで当方は使用しています。

EC2のセキュリティグループはsshを現在使用中のIPで絞ることができるので
自分のwifiルータを持ち歩いて作業しなければならない時に便利です。
またDBとの接続もセキュリティグループを設置することで
一つ制限をすることができるのでクラスタ的な構成では安心感がますイメージです。

このあたりは実際に動かすとイメージがつかみやすいと思います。

また細かい仕様や料金体系は使用状況が多岐にわたり、変わることが
クラウドではあるのでamazonさんに直接確認したほうがよいと思います。

動かす前であればイメージをつかむのが少し難しいと思いますが
参考になれば幸いです。