OSI是一个网络架构的分层模型。它描述和规定了两个互联的系统如何通信。其中，顶层在典型情况下即为"基于代理服务器的防火墙"所工作的层次。应用层防火墙是第三代防火墙，,这种防火墙可以向下扫描其下的各层。在与会话层防火墙或电路层防火墙比较时，这种应用层防火墙可以集成会话层防火墙的特性和反向代理服务器等其它高级特性，从而实现更安全的网站访问。

当今的攻击已经发展得相当高级，多数会话层防火墙甚至并不能阻止多数基本的应用型攻击。因此，我们需要向第五层防火墙道别或者用更加安全的"应用层防火墙" 来替换之。

应用层防火墙已经成为那些对法规遵从感兴趣的人们谈论的热点话题。支付卡行业数据安全标准(PCI DSS)原来只推荐应用层防火墙作为最佳方式。该标准将要求公司要么安装这种防火墙，要么进行代码检查。

今天，虽然多数机构多少拥有一些边界防火墙，可以保护网络不受恶意的因特网信息流的攻击，但是这些种类的防火墙并不能保护用户，使其免于受到穿越应用程序的威胁。

据反恶意软件经销商Sophos plc和Symantec Corp.的报告称，最近，应用层防火墙已经出现，它是一种防御Web应用攻击的工具。Web应用程序攻击是一种最常见的入侵类型。传统的网络防火墙不能检测到应用攻击，原因是它们在合法应用程序的开放端口上才能起作用。虽然网络防火墙检查端口和packet headers，但是，它们并不能核查应用程序和应用程序数据，它们可以在通过开放防火墙端口时，不知不觉地隐藏恶意活动。由于大多数Web信息流通过端口80或者端口443，而关闭这些端口是不现实的。

PCI DSS也已经开始关注应用层防火墙。名声不太好的Section 6.6涵盖了Web应用程序安全，号召公司对其应用程序进行代码核查，或者使用应用层防火墙，来保护用于处理信用卡的代码。

不幸的是，PCI DSS Section 6.6将应用程序安全解释为一种非此即彼的命题，但是它远比这个要复杂得多。应用安全不仅仅是关于代码核查或者防火墙;在一些情况下，它可以意味着两者兼而有之。网络安全是关于关闭端口和关闭不必要的服务，应用程序安全与此不同，它是有关保护编码和设计的。

正如任何安全工具或者做法，应用层防火墙应当仅仅被看作是较大规模安全程序的一部分，并不是单一的防御Web应用攻击的一种方式。它应当是多层防御的一种。多层防御包括应用漏洞、渗透测试以及个软件开发生命周期中的安全漏洞的代码核查。

在考虑应用层防火墙时，每个用户应该注意四个因素。我们来分别看一下这些因素，以及现在市场上的一些应用层防火墙。

首先，它真的是应用层防火墙吗?或者仅仅是一种深度信息包检测器?该区别很重要。为了与PCI一致，它必须是一个真正的应用层防火墙，而不是一个冒名顶替的工具。

一个真正的应用层防火墙可以检测应用程序的信息流，以防诸如SQL注入或者跨站脚本攻击(XSS)之类的恶意代码。当然，这就要求深度信息包检测，但是深度信息包检测仅仅查找信息流中诸如恶意软件和间谍软件之类的攻击，而无法检测到通过应用程序发送的恶意代码。

传统的网络防火墙仅仅可以检测packet headers，与之不同的是，深度信息包检测可以检测信息包内部及其内容。这虽然绝对可以增强防火墙的能力，但并不能算作一种防止攻击的防御，它仍然有一些局限性。

另一种常见的误解是将应用层防火墙与网络安全网关和内容过滤产品混为一谈。不要因为安装了一个应用层防火墙，就关闭你的Blue Coat、Vontu或者Vericept系统。这两种产品进行不同的工作。内容过滤产品可以阻止不合适的网站，或者基于Web的电子邮件，这些都可能包含恶意软件。但是同样地，它们不能捕获网络应用攻击，有时这仅仅是网站内容的一部分。虽然这两种产品都可以使用URL过滤，但是，应用层防火墙可以在URL中查找恶意代码:比如XSS攻击中使用的JavaScript;而内容过滤器仅仅在网络地址本身中查找。

尽管如此，网络安全网关、内容过滤产品和应用层防火墙已经慢慢地融合为统一的工具。该发展是自然而然的，因为许多威胁也已经结合起来并且现在需要多层防御。比如，虽然该内容过滤器可能会也可能不会阻止恶意站点，但是应用层防火墙会阻止它所携带的恶意代码。

应用层网关(Application level gateway)，也叫做应用层防火墙或应用层代理防火墙，通常用于描述第三代防火墙。当一个用户在这个可信赖的网络希望连接到在不被信赖的网络的服务例如因特网，这个应用专注于在防火墙上的代理服务器。这个代理服务器有效地伪装成在因特网上的真实服务器。它评估请求和决定允许或拒绝基于一系列被个人网络服务管理规则的请求。

应用层防火墙

在现代的计算环境中，应用层防火墙日益显示出其可以减少攻击面的强大威力。

最初的网络安全不过是使用支持访问列表的路由器来担任。对简单的网络而言，仅使用访问控制列表和一些基本的过滤功能来管理一个网络对于未授权的用户而言已经足够。因为路由器位于每个网络的中心，而且这些设备还被用于转发与广域网的通信。

但路由器仅能工作在网络层，其过滤方式多少年来并没有根本性的变化。制造路由器的公司也为增强安全性在这一层上也是下足了工夫。更明确地讲，所有的安全措施只不过存在于路由器所在的网络层而已。

第三代防火墙称为应用层防火墙或代理服务器防火墙，这种防火墙在两种方向上都有"代理服务器"的能力，这样它就可以保护主体和客体，防止其直接联系。代理服务器可以在其中进行协调，这样它就可以过滤和管理访问，也可以管理主体和客体发出和接收的内容。这种方法可以通过以各种方式集成到现有目录而实现，如用户和用户组访问的LDAP。

应用层防火墙还能够仿效暴露在互联网上的服务器，因此正在访问的用户就可以拥有一种更加快速而安全的连接体验。事实上，在用户访问公开的服务器时，他所访问的其实是第七层防火墙所开放的端口，其请求得以解析，并通过防火墙的规则库进行处理。一旦此请求通过了规则库的检查并与不同的规则相匹配，就会被传递给服务器。这种连接在是超高速缓存中完成的，因此可以极大地改善性能和连接的安全性。

而在OSI模型中，第五层是会话层，第七层是应用层。应用层之上的层为第八层，它在典型情况下就是保存用户和策略的层次。

一个个人防火墙, 通常软件应用过滤信息进入或留下。一台电脑和一个传统防火墙通常跑在一台专用的网络设备或电脑被安置在两个或更多网络或DMZs (解除军事管制区域) 界限。 这样防火墙过滤所有信息进入或留下被连接的网络。 后者定义对应于"防火墙" 的常规意思在网络, 和下面会谈谈这类型防火墙。

以下是两个主要类型防火墙: 网络层防火墙和 应用层防火墙。 这两类型防火墙也许重叠; 的确, 单一系统会两个一起实施。

网络层防火墙

网络层防火墙可视为一种 IP 封包过滤器，运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。

我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项"否定规则"就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。

较新的防火墙能利用封包的多样属性来进行过滤，例如:来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。

应用层防火墙

应用层防火墙是在 TCP/IP 堆栈的"应用层"上运作，您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。

防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。不过就实现而言，这个方法既烦且杂(软件有千千百百种啊)，所以大部分的防火墙都不会考虑以这种方法设计。

XML 防火墙是一种新型态的应用层防火墙。

代理服务

代理服务设备(可能是一台专属的硬件，或只是普通机器上的一套软件)也能像应用程序一样回应输入封包(例如连接要求)，同时封锁其他的封包，达到类似于防火墙的效果。

代理由外在网络使窜改一个内部系统更加困难, 并且一个内部系统误用不一定会导致一个安全漏洞可开采从防火墙外面(只要应用代理剩下的原封和适当地被配置) 。 相反地, 入侵者也许劫持一个公开可及的系统和使用它作为代理人为他们自己的目的; 代理人然后伪装作为那个系统对其它内部机器。 当对内部地址空间的用途加强安全, 破坏狂也许仍然使用方法譬如IP 欺骗试图通过小包对目标网络。

防火墙经常有网络地址转换(NAT) 的功能, 并且主机被保护在防火墙之后共同地使用所谓的"私人地址空间", 依照被定义在[RFC 1918] 。 管理员经常设置了这样情节在努力(无定论的有效率) 假装内部地址或网络。

防火墙的适当的配置要求技巧和智能。 它要求管理员对网络协议和电脑安全有深入的了解。 因小差错可使防火墙不能作为安全工具.

7层防火墙是在应用层工作的防火墙,它实时监控保护系统各个方面的行为。保护系统的安全运行,有效的保证系统的正常运行,有网络系统安全中有良好的表现.

防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。

在具体应用防火墙技术时，还要考虑到两个方面:

一是防火墙是不能防病毒的，尽管有不少的防火墙产品声称其具有这个功能。 二是防火墙技术的另外一个弱点在于数据在防火墙之间的更新是一个难题，如果延迟太大将无法支持实时服务请求。并且，防火墙采用滤波技术，滤波通常使网络的性能降低50%以上，如果为了改善网络性能而购置高速路由器，又会大大提高经济预算。

总之，防火墙是企业网安全问题的流行方案，即把公共数据和服务置于防火墙外，使其对防火墙内部资源的访问受到限制。作为一种网络安全技术，防火墙具有简单实用的特点，并且透明度高，可以在不修改原有网络应用系统的情况下达到一定的安全要求。