Proxy server mức ứng dụng cung cấp tất cả các chức năng cơ bản của proxy server và còn phân tích các gói dữ liệu. Khi các gói từ bên ngoài đến cổng này, chúng được kiểm tra và đánh giá để xác định chính sách an toàn có cho phép gói này đi vào mạng nội bộ hay không. Proxy server không chỉ đánh giá địa chỉ IP, nó còn nhìn vào dữ liệu trong gói để ngăn những kẻ đột nhập cất dấu thông tin trong đó.
Với các proxy server, các chính sách an toàn mạnh hơn và mềm dẻo hơn nhiều vì tất cả thông tin trong các gói được người điều hành sử dụng để ghi các luật xác định cách xử lý các gói. Có thể giám sát dễ dàng mọi việc xảy ra trên proxy server. Bạn cũng có thể bỏ các tên máy tính để che dấu hệ thống bên trong, và có thể đánh giá nội dung của các gói dữ liệu vì mục đích hợp lý và an toàn. Tính “hợp lý” là một tùy chọn thú vị. Bạn có thể thiết lập bộ lọc để loại bỏ mọi bản tin điện tử chứa các nội dung không được phép.
Hình 2.7. Giao tiếp trên mạng thông qua proxy server
Một proxy server điển hình có thể cung cấp các dịch vụ ủy quyền cho các ứng dụng và giao thức như Telnet, FTP ( File Transfer Protool), HTTP ( Hypertext Transfer Protocol), và SMTP ( Simple Mail Transfer Protocol). Proxy server này không cho phép bất kỳ một gói tin nào đi thẳng trực tiếp giữa hai mạng, mà loại Firewall này được thiết kế để tăng cường khả năng kiểm soát thông qua dịch vụ người đại diện (Proxy Service). Khi một trạm bên ngoài muốn kết nối với các trạm bên trong tường lửa thông qua một dịch vụ nào đó thì trạm bên ngoài phải thông qua Proxy Server. Nếu dịch vụ và các trạm bên ngoài không thuộc diện cấm thông qua đối với Proxy thì Proxy
Server sẽ đi tìm trạm đích bên trong tường lửa để tạo kết nối với trạm bên ngoài và ngược lại các trạm bên trong muốn kết nối ra ngoài cũng vậy. Với cách thức này thì sẽ đánh bại được một số loại tấn công cơ bản như gây tràn bộ đệm của tường lửa.
Tuy nhiên cũng có một số hạn chế đối với dạng tường lửa loại này là: Đây là loại tường lửa được cài đặt cho từng loại dịch vụ riêng rẽ trên mạng ví dụ như Telnet, Mail, FPT…. Nếu chúng ta muốn hỗ trợ một dịch vụ nào đó cho mạng của mình thông qua tường lửa thì chúng ta nhất thiết phải thêm vào proxy cho loại dịch vụ đó. Vì vậy nếu trên mạng bên ngoài có thêm một dich vụ mới nào đó thì người quản trị tường lửa phải xây dựng chính sách đại diện thích hợp với dịch vụ đó. Có hai nguyên tắc để tạo ra chính sách đại diện mặc định ở đây đó là hoăc từ chối tất cả những thứ không được đại diện, hoặc là chấp nhận tất cả những dịch vụ không có dịch vụ đại diện trên tường lửa. Nhưng
cả hai cách này dều gây ra những nguy cơ an ninh và bất tiện mới cho hệ thống mạng bên trong tường lửa.