Çevrimdışı

Uygulama ağ geçitleri/vekil sunucular en karmaşık paket izleme metodu olarak düşünülebilir. Bu tip ateş duvarının iki ağ arayüzü olan güvenli host sistemlerinde konfigüre edilmesi düşünülebilir. Uygulama ağ geçitleri/vekil sunucular iki uç nokta arasında bir aracı olarak düşünülebilir. Bu paket izleme metodu istemci/sunucu modelini kırar, dolayısıyla yeni durum iki bağlantıya ihtiyaç duyar: bir bağlantı kaynaktan ağ geçidi/vekil sunucuya ve diğeri ağ geçidi/vekil sunucudan hedefedir. Her uç nokta birbirleriyle ağ geçidi/vekil sunucu aracılığı ile görüşebilir.
Bu tip ateş duvarı OSI modelinin uygulama katmanında çalışır. Kaynak ve hedef uç noktalarının birbirleriyle iletişim kurabilmesi için herbir uygulama protokolünde vekil sunucunun konfigürasyonu yapılmalıdır. Ağ geçidi/vekil sunucu iki ağ arasındaki bağlantıyı sağladığından gerekli güvenliği ve güvenilirliliği sağlamak amacı ile çok dikkatli bir şekilde tasarlanmalıdır. Bu doğrultuda vekil sunucu yazılımı da olabildiği kadar katı ve güvenli olmalıdır. Paket izlemenin diğer bir güçlü yanıda host sistemindeki arayüzün paketleri yönlendirmemesidir.


Uygulama ağ geçidi/vekil sunucu ateş duvarı şe şekilde çalışır. Güvenilir olmayısan bir ağdan uygulama ağ geçidi/vekil sunucu ateş duvarına gelen bir istemci isteği geldiğinde gerekli bağlantı oluşturulur. Vekil sunucu kendi kuralları veya filtreleri doğrultusunda isteğin geçerli olup olmadığına karar verir ve istemci isteği doğrultusunda hedefe yeni bir istek gönderir. Bu metod kullanılarak güvenilir ağ ile güvenilmeyen ağda bulunan iki uç nokta arasında hiçbir şekilde doğrudan bir bağlantı oluşturulmamış olur.
Talepte aynı çerçevede cevaplanır. Gelen cevap uygulama ağ geçidi/vekil sunucu tarafından incelenir ve geçerli olması durumunda istmciye gönderilir. İstemci / sunucu modelini kıran bu model sayesinde ateş duvarı güvenilir olan ve güvenilmeyen iki ağı bşrbşrşnden ayırabilir. Burada önemli olan nokta uygulama ağ geçidi/vekil sunucunun aslında bilinen komutlarlı kullanarak hedefe isteği göndermeden önce bunun kopyasını yaratmasıdır.


Paket filtreleme ve dinamik paket izlemeden farklı olarak uygulama ağ geçidi / vekil sunucu uygulama katmanındaki bütün durumları görüntüleyebilir ve bu sayede daha ayrıntılı incelem yapabilir. Örneğin, bir yazı içeren posta mesajı ile resim içeren posta mesajı arasındaki farkı anlayabileceği gibi Java kullanan web sayfası ile kullanmayısan arasındaki farkı da bilir. Güvenlik açısından uygulama ağ geçidi/vekil sunucu izleme metodu diğer paket izleme metodlarına göre oldukça mükemmeldir. Bununla beraber bu metod herzaman kullanımda en pratik olanı değildir.