Jen o málo později, než jednoduché paketové filtry, byly postaveny firewally, které na rozdíl od paketových filtrů zcela oddělily sítě, mezi které byly postaveny. Říká se jim většinou Aplikační brány, někdy také Proxy firewally. Veškerá komunikace přes aplikační bránu probíhá formou dvou spojení – klient (iniciátor spojení) se připojí na aplikační bránu (proxy), ta příchozí spojení zpracuje a na základě požadavku klienta otevře nové spojení k serveru, kde klientem je aplikační brána. Data, která aplikační brána dostane od serveru, pak zase v původním spojení předá klientovi. Kontrola se provádí na sedmé (aplikační) vrstvě síťového modelu OSI (proto se těmto firewallům říká aplikační brány). Jedním vedlejším efektem použití aplikační brány je, že server nevidí zdrojovou adresu klienta, který je původcem požadavku, ale jako zdroj požadavku je uvedena vnější adresa aplikační brány. Aplikační brány díky tomu automaticky působí jako nástroje pro překlad adres (NAT), nicméně tuto funkcionalitu má i většina paketových filtrů.
Aplikační bránou se rozumí ochrana na aplikační vrstvě. Dochází k úplnému oddělení sítí. Spojení probíhá způsobem, že klient pošle proxy severu svůj požadavek na otevření spojení s nějakou službou v jiné síti. Aplikační brána požadované spojení umožní. Z toho plyne, že proxy server funguje jako prostředník mezi klientem v jedné síti a službou v síti druhé. Výhodou právě popsaného způsobu komunikace je ukrytí zdrojové adresy klienta, protože jako klient slouží v takovém případě aplikační brána. Tím docílíme kontroly obsahu přenášených paketů nebo třeba autentizace uživatelů. Nevýhodou jsou vyšší nároky na hardware a netransparentnost, protože každá aplikace musí podporovat připojení pomocí proxy a tyto aplikace musí být samozřejmě také správně nastaveny.
Výhodou tohoto řešení je poměrně vysoké zabezpečení známých protokolů. Nevýhodou je zejména vysoká náročnost na použitý HW – aplikační brány jsou schopny zpracovat mnohonásobně nižší množství spojení a rychlosti, než paketové filtry a mají mnohem vyšší latenci. Každý protokol vyžaduje napsání specializované proxy, nebo využití tzv. generické proxy, která ale není o nic bezpečnější, než využití paketového filtru. Většina aplikačních bran proto uměla kontrolovat jen několik málo protokolů (obyčejně kolem deseti). Původní aplikační brány navíc vyžadovaly, aby klient uměl s aplikační branou komunikovat a neuměly dost dobře chránit svůj vlastní operační systém; tyto nedostatky se postupně odstraňovaly, ale po nástupu stavových paketových filtrů se vývoj většiny aplikačních bran postupně zastavil a ty přeživší se dnes používají už jen ve velmi specializovaných nasazeních. Typickými představiteli aplikačních bran byly např. The Firewall Toolkit (fwtk) a z něj vycházející Gauntlet spol. TIS později zakoupený společností NAI.