ist ein Verfahren für Firewalls auf der siebten Schicht des OSI-Modells (Anwendungsschicht, engl.: Application Layer).
Dazu wird auf dem Verbindungsrechner zwischen dem sicheren und dem unsicheren Netzwerk (z. B. zwischen einem Intranet und Internet) ein Rechner eingerichtet, auf dem für jeden zu überwachenden Dienst ein Proxy Server eingerichtet wird.
Anders als das Packet Filtering kann hier eine Überwachung der Inhalte statt finden. So können aus den HTML-Seiten aktive Inhalte wie ActiveX-Controls oder Java-Applets herausgefiltert werden oder in der E-Mail nach Viren gesucht werden.
Die interne Struktur des Netzwerkes wird durch den Einsatz von NAT verborgen. Jedes ALG kann entsprechend der bestehenden Anforderungen für weitere Sicherheitsdienste konfiguriert werden, z. B. für eine Protokollierung.
Nachteilig ist u. a., dass bei der Übernahme des Rechners mit ALG durch einen Angreifer die gesamte Sicherheit verloren geht. Da auch Angriffe auf den unteren Schichten weder erkannt noch protokolliert werden können, ist auf den meisten Firewalls eine Kombinations aus ALG und Packet Filtering vorgesehen. Bezeichnungen dafür sind Screened Gateway, Transparent Application Gateway oder Sandwich-System.