Il firewall applicativo (o application layer gateway, ALG) è la terza generazione di firewall, capace di operare fino al livello 7 (applicazione) del modello OSI. A differenza del firewall stateful che vede solo intestazioni di rete e stato delle connessioni, il firewall applicativo analizza il contenuto del payload, comprendendo il significato dei dati trasportati dal protocollo applicativo.
Modalità proxy
La modalità operativa tipica è quella di proxy: il firewall si interpone tra client e server, terminando la connessione dal lato client e aprendo una nuova connessione verso il server. Il client comunica con il proxy come se fosse il server reale; il server vede il proxy come client.
Client ──[conn. TCP 1]──> Proxy Firewall ──[conn. TCP 2]──> Server
(ispeziona il payload HTTP)Questo approccio garantisce che nessun pacchetto del client raggiunga mai direttamente il server: il proxy ricostruisce la richiesta da zero, eliminando qualsiasi anomalia o payload malevolo nascosto nelle intestazioni.
Capacità di ispezione applicativa
Il firewall applicativo conosce la semantica dei protocolli che gestisce:
- HTTP/HTTPS: ispezione degli URL, dei metodi (blocco di PUT/DELETE), del content-type, rilevamento di pattern SQL injection o XSS nel payload, blocco per categoria di contenuto.
- FTP: comprende il protocollo FTP attivo/passivo e aggiorna dinamicamente le regole per le connessioni dati senza aprire range di porte statici.
- SMTP: verifica SPF/DKIM, analisi degli allegati, filtraggio spam, blocco di comandi SMTP anomali.
- DNS: rilevamento di DNS tunneling (exfiltrazione di dati codificati in query DNS), DNSSEC validation.
Deep Packet Inspection (DPI)
La Deep Packet Inspection è la tecnica di analisi del payload che distingue il firewall applicativo dal packet filter. Permette di identificare il protocollo applicativo reale indipendentemente dalla porta usata: un’applicazione che usa porta 80 non è necessariamente HTTP, e un tunnel SSH su porta 443 non è TLS. La DPI riconosce le firme applicative nel payload, abilitando politiche basate sull’applicazione reale.
Web Application Firewall (WAF)
Il WAF è un firewall applicativo specializzato per la protezione delle applicazioni web. Analizza il traffico HTTP/HTTPS verso i server web applicando regole per rilevare e bloccare: SQL injection (CWE-89), Cross-Site Scripting (CWE-79), CSRF, Path Traversal, inclusione di file remoti, attacchi alle API REST. Il ModSecurity con il ruleset OWASP Core Rule Set (CRS) è il WAF open source di riferimento. I WAF cloud (Cloudflare, AWS WAF, Akamai) operano come reverse proxy davanti all’applicazione.
Limiti
Il firewall applicativo introduce latenza aggiuntiva rispetto al packet filter — ogni connessione deve essere terminata, ispezionata e ritrasmessa. Non ispeziona il traffico TLS senza terminazione esplicita del TLS (TLS inspection o SSL bump), che richiede un certificato intermedio installato sui client e solleva problemi di privacy. Il NGFW integra queste capacità insieme a stateful inspection, IPS e threat intelligence in un unico dispositivo.