随着对Web服务器的攻击变得越来越普遍，很明显需要防火墙来保护网络免受应用层的攻击。包过滤和状态检测防火墙无法区分封装在明显有效的协议流量中的有效应用层协议请求，数据和恶意流量。

提供应用层过滤的防火墙可以检查数据包的有效负载，并区分伪装成有效请求或数据的有效请求，数据和恶意代码。由于这种类型的防火墙根据有效负载的内容做出决策，因此它为安全工程师提供了对网络流量的更精细控制，并设置规则以允许或拒绝特定的应用程序请求或命令。例如，它可以允许或拒绝来自特定用户的特定传入Telnet命令，而其他防火墙只能控制来自特定主机的常规传入请求。

如果这种类型的防火墙也可以防止攻击者直接连接到网络，那就更好了。将防火墙放在代理服务器上会使攻击者更难发现网络的实际位置并创建另一层安全性。

当存在代理防火墙时，客户端和服务器都被迫通过中介（一个托管应用层防火墙的代理服务器）进行会话。现在，每次外部客户端请求与内部服务器建立连接（反之亦然）时，客户端将打开与代理的连接。如果连接符合防火墙规则库中的条件，则代理将打开与所请求服务器的连接。由于防火墙位于逻辑连接的中间，因此它可以监视应用程序层中任何恶意活动迹象的流量。

应用程序层过滤的主要好处是能够阻止特定内容，例如已知的恶意软件或某些网站，并识别某些应用程序和协议，例如超文本传输??协议（HTTP ），文件传输协议（FTP ）和域名系统（DNS ），被滥用。应用层防火墙规则还可用于控制特定应用程序的文件执行或数据处理。