Die Proxy-Firewall ist ein Sicherheitssystem für das Netz. Eine Proxy-Firewall wird auch als Application-Firewall oder Gateway-Firewall oder Gateway-Firewall genannt. Wie ein Proxy-Server oder Cache-Server fungiert eine Proxy-Firewall zwischen den Mandanten in Ihrem Unternehmen und den Rechnern im Intranet. Eine Proxy-Firewall kontrolliert auch den ankommenden Datenverkehr auf Schicht 7 (der Anwendungsschicht).
Um festzustellen, welche Art von Datenverkehr zulässig ist und welche nicht, verwendet eine Proxy-Firewall Stateful-Inspektion und Deep Packet-Inspektion. Eine Proxy-Firewall gilt als die sichere Art der Firewall, da sie den unmittelbaren Kontakt des Netzwerks mit anderen Rechnern verhindert. Ein Proxy-Firewall hat eine eigene IP-Adresse und eine externe Netzverbindung wird nie Datenpakete empfangen.
Die Proxy-Firewall kann nicht nur die Netzwerk-Adresse und Port-Nummer, sondern das gesamte Datenpaket scannen. Die Sicherheitskomponente verfügt daher über umfangreiche Protokollierungsmöglichkeiten. Marcus Ranum wird die Entwicklung der Proxy-Firewall zugeschrieben. Ihm zufolge ist das Hauptziel des Proxy-Ansatzes, eine einheitliche Instanz zu haben, die es sicherheitsbewussten Entwicklern ermöglicht, das Bedrohungsniveau zu beurteilen.
Aber auch die zusätzlichen Sicherheitsvorkehrungen von Proxy-Firewalls haben einen Nachteil. Eine Proxy-Firewall baut für jedes eingehende und abgehende Packet eine weitere Kommunikationsverbindung auf, was zu einem Engpass führen kann. Proxy-Firewalls können außerdem nur gängige Netzwerk-Protokolle unterstützen.