什么防火墻是基于應用層的防火墻？

我們平時接觸的防火墻是主要是對OSI三層及以下的防護，而應用層防火墻顧名思義可以對7層進行一個防護。傳統的防火墻一般是靜態的，針對特定的端口，特定的地址設定策略。而應用層防火墻，你可以把它理解為動態的，是基于應用層協議的檢測和阻斷，其原理應該是對網絡中的流量進行抓包，將流量提取出來進行協議還原，模式匹配等等技術。功能接近于和IPS（入侵保護系統）。

應用層網關（Application level gateway），也叫做應用層防火墻或應用層代理防火墻，通常用于描述第三代防火墻。當一個用戶在這個可信賴的網絡希望連接到在不被信賴的網絡的服務例如因特網，這個應用專注于在防火墻上的代理服務器。這個代理服務器有效地偽裝成在因特網上的真實服務器。它評估請求和決定允許或拒絕基于一系列被個人網絡服務管理規則的請求。

應用層防火墻

在現代的計算環境中，應用層防火墻日益顯示出其可以減少攻擊面的強大威力。

最初的網絡安全不過是使用支持訪問列表的路由器來擔任。對簡單的網絡而言，僅使用訪問控制列表和一些基本的過濾功能來管理一個網絡對于未授權的用戶而言已經足夠。因為路由器位于每個網絡的中心，而且這些設備還被用于轉發與廣域網的通信。

但路由器僅能工作在網絡層，其過濾方式多少年來并沒有根本性的變化。制造路由器的公司也為增強安全性在這一層上也是下足了工夫。更明確地講，所有的安全措施只不過存在于路由器所在的網絡層而已。

第三代防火墻稱為應用層防火墻或代理服務器防火墻，這種防火墻在兩種方向上都有“代理服務器”的能力，這樣它就可以保護主體和客體，防止其直接聯系。代理服務器可以在其中進行協調，這樣它就可以過濾和管理訪問，也可以管理主體和客體發出和接收的內容。這種方法可以通過以各種方式集成到現有目錄而實現，如用戶和用戶組訪問的LDAP。

應用層防火墻還能夠仿效暴露在互聯網上的服務器，因此正在訪問的用戶就可以擁有一種更加快速而安全的連接體驗。事實上，在用戶訪問公開的服務器時，他所訪問的其實是第七層防火墻所開放的端口，其請求得以解析，并通過防火墻的規則庫進行處理。一旦此請求通過了規則庫的檢查并與不同的規則相匹配，就會被傳遞給服務器。這種連接在是超高速緩存中完成的，因此可以極大地改善性能和連接的安全性。

而在OSI模型中，第五層是會話層，第七層是應用層。應用層之上的層為第八層，它在典型情況下就是保存用戶和策略的層次。