應用程序防火墻是一種防火墻形式，它控制應用程序或服務的輸入/輸出或系統調用。 它通過基于配置的策略xxx和阻止通信來運行，通常具有可供選擇的預定義規則集。 應用防火墻可以控制直至 OSI 模型的應用層的通信，該層是最高操作層，因此得名。 應用防火墻的兩個主要類別是基于網絡的和基于主機的。

應用層過濾在比傳統安全設備更高的級別上運行。 這允許基于更多的源/目標 IP 地址或端口來做出數據包決策，并且還可以使用跨越任何給定主機的多個連接的信息。

基于網絡的應用防火墻在 TCP/IP 堆棧的應用層運行，可以理解某些應用程序和協議，例如文件傳輸協議 (FTP)、域名系統 (DNS) 或超文本傳輸協議 (HTTP)。 這允許它使用非標準端口識別不需要的應用程序或服務，或檢測允許的協議是否被濫用。

基于網絡的應用程序防火墻的現代版本可以包括以下技術：

• 加密卸載
• 入侵防御系統
• 防止數據丟失

Web 應用程序防火墻 (WAF) 是基于網絡的設備的專用版本，它充當反向代理，在將流量轉發到關聯服務器之前檢查流量。

基于主機的應用程序防火墻xxx應用程序系統調用或其他一般系統通信。 這提供了更多的粒度和控制，但僅限于保護它運行的主機。 通過在每個進程的基礎上進行過濾來應用控制。 通常，提示用于為尚未收到連接的進程定義規則。 可以通過檢查數據包所有者的進程 ID 來進一步過濾。 許多基于主機的應用程序防火墻與數據包過濾器組合或結合使用。

由于技術限制，沙盒等現代解決方案被用作替代基于主機的應用程序防火墻來保護系統進程。

有各種可用的應用程序防火墻，包括免費和開源軟件以及商業產品。