代理防火墙是一种网络安全系统，它通过过滤应用层的消息来保护网络资源。代理防火墙也可以称为应用防火墙或网关防火墙。

就像 代理服务器 或缓存服务器一样，代理防火墙充当内部客户端和Internet上的服务器之间的中介。不同之处在于，除了拦截Internet请求和响应之外，代理防火墙还监视第7层协议（如HTTP和FTP）的传入流量。除了确定允许哪些流量以及哪些流量被拒绝之外，代理防火墙还使用状态检测技术和深度数据包检查来分析传入流量是否存在攻击迹象。

代理防火墙被认为是最安全的防火墙类型，因为它们阻止了与其他系统的直接网络联系。（因为代理防火墙有自己的 IP地址 ，外部网络连接永远不会直接从发送网络接收数据包。）能够检查整个网络数据包，而不仅仅是网络地址和端口号，也意味着代理防火墙将具有广泛的日志记录功能 - 这是处理安全事件的安全管理员的宝贵资源。根据构思代理防火墙的Marcus Ranum的说法，代理方法的目标是创建一个单点，允许安全意识的程序员评估应用程序协议所代表的威胁级别并进行错误检测，攻击检测和有效性检查到位。

但是，代理防火墙提供的附加安全性有其缺点。由于代理防火墙为每个传出和传入数据包建立了额外的连接，因此防火墙可能成为瓶颈，导致性能下降或成为单点故障。另外，代理防火墙可能仅支持某些流行的网络协议，从而限制了网络可以支持的应用程序。