在現代的計算環境中，應用層防火墻日益顯示出其可以減少攻擊面的強大威力。

最初的網絡安全不過是使用支持訪問列表的路由器來擔任。對簡單的網絡而言，僅使用訪問控制列表和一些基本的過濾功能來管理一個網絡對于未授權的用戶而言已經足夠。因為路由器位于每個網絡的中心，而且這些設備還被用于轉發與廣域網的通信。

但路由器僅能工作在網絡層，其過濾方式多少年來并沒有根本性的變化。制造路由器的公司也為增強安全性在這一層上也是下足了工夫。更明確地講，所有的安全措施只不過存在于路由器所在的網絡層而已。

會話層防火墻也稱為電路級防火墻或電路網關。這種電路級防火墻使用網絡地址轉換（NAT）來保護內部網絡，而這些網關幾乎沒有或根本沒有與應用層的連接，所以它們也就不能過濾更復雜的連接。這種防火墻只能根據基本的規則（如源地址端口）來保護數據通信。

隨著技術的發展和進步，人們需要管理外發的數據通信，需要進行過濾。用戶們可以瀏覽互聯網，并且可以利用內部防御系統中的漏洞，因為惡意用戶可以將自己偽裝成一個合法的用戶。

用戶可以通過遠程登錄到一個開放的外發端口，而此端口并不是一個telnet端口(從23號端口登錄到80號端口)，這意味著用戶可以輕易地繞過第五層設備的安全防御。支持訪問列表的路由器會準許用戶連接到一個端口上，雖然此端口并不是遠程登錄端口，而是另外一種服務的端口。這意味著路由器在數據包通過時并沒有實施檢查。由此便造成惡意數據包可以在網絡上傳輸。

在上個世紀的90年代，主流的代理服務器登上了舞臺，它集成了基本的防火墻技術。這種“代理服務器防火墻”能夠劫獲源主機和目標主機之間的通信。因為“代理服務器防火墻”位于中間的位置，所以它擁有根據預先定義的規則集來檢查數據包的能力。

傳統會話層防火墻技術的局限

會話層防火墻工作在第五層。在上個世紀的90年代，這種技術對于保護網絡是足夠的。但是，隨著攻擊發展到應用層，以及互聯網的增長，會話層防火墻的功能不再是足夠的。其結果是沒有應用層保護機制的防火墻將導致錯誤的配置， 而且操作系統的漏洞會直接暴露到互聯網上，這是由于所有的會話層防火墻通過提供一張路由表和訪問控制列表而提供一種基本的保護措施。

在會話層防火墻上的一些小進步使得防火墻可以在更深的層次上檢查常見協議的數據包，不過，用metasploit和 backtrack等工具很容易就可以繞過這些措施。在今天的網絡環境中，唯一的選擇是安裝一個應用層防火墻，它不僅僅可以實施ACL及目標端口等的檢查。在與現代的應用程序交互時，進行更深的數據包檢查、狀態連接管理、應用層過濾是至關重要的功能。因此，許多重視安全性的單位在面臨會話層和應用層防火墻的選擇時，會堅定地選擇后者。

應用層防火墻技術

第三代防火墻稱為應用層防火墻或代理服務器防火墻，這種防火墻在兩種方向上都有“代理服務器”的能力，這樣它就可以保護主體和客體，防止其直接聯系。代理服務器可以在其中進行協調，這樣它就可以過濾和管理訪問，也可以管理主體和客體發出和接收的內容。這種方法可以通過以各種方式集成到現有目錄而實現，如用戶和用戶組訪問的LDAP。

應用層防火墻還能夠仿效暴露在互聯網上的服務器，因此正在訪問的用戶就可以擁有一種更加快速而安全的連接體驗。事實上，在用戶訪問公開的服務器時，他所訪問的其實是第七層防火墻所開放的端口，其請求得以解析，并通過防火墻的規則庫進行處理。一旦此請求通過了規則庫的檢查并與不同的規則相匹配，就會被傳遞給服務器。這種連接在是超高速緩存中完成的，因此可以極大地改善性能和連接的安全性。

而在OSI模型中，第五層是會話層，第七層是應用層。應用層之上的層為第八層，它在典型情況下就是保存用戶和策略的層次。

關于OSI的進一步說明

OSI是一個網絡架構的分層模型。它描述和規定了兩個互聯的系統如何通信。其中，頂層在典型情況下即為“基于代理服務器的防火墻”所工作的層次。應用層防火墻是第三代防火墻，,這種防火墻可以向下掃描其下的各層。在與會話層防火墻或電路層防火墻比較時，這種應用層防火墻可以集成會話層防火墻的特性和反向代理服務器等其它高級特性，從而實現更安全的網站訪問。

當今的攻擊已經發展得相當高級，多數會話層防火墻甚至并不能阻止多數基本的應用型攻擊。因此，我們需要向第五層防火墻道別或者用更加安全的“應用層防火墻” 來替換之。

小結

不管我們如何對過去的老技術念念不忘，總不能忽視更新的防火墻面孔和更新的防火墻技術方法。安全專家們受到了前所未有的挑戰，這種挑戰來自于學會了如何加密其數據通信以逃避管理的用戶。那么，我們的解決方案就應當是實施應用層防火墻，它應當能夠對加密的數據流進行掃描。互聯網的風景很精彩，但更需要我們認識到的是，一些更加結構化的應用層攻擊正不斷地“嶄露頭角”并興風作浪，對付這種新威脅的唯一制勝之道便是實施更加精密復雜的應用層防火墻。