Die wahrscheinlich beste Option stellt der Einsatz einer solchen Firewall auf Anwendungsebene dar, die hinter einer klassischen „Brandmauer“ lediglich den XML-Verkehr prüft. Ähnlich wie ein Proxy erhält diese Art von Software die Webservices-Nachrichten als ob die Firewall der eigentliche Webdienst wäre. Die Firewall untersucht die Nachricht, authentifiziert den Absender, das heißt die Person, das Programm oder das Unternehmen, dann prüft sie, ob der Absender autorisiert ist für den Webservice und die angeforderte Operation. Die Authentifizierung kann einen einfachen Benutzernamen mit Kennwort, ein Zertifikat oder ein System mit SAML verwenden.

Die Anwendungs-Firewall authentifiziert diese Daten mithilfe von Quellen wie ein LDAP-Verzeichnis (Lightweight Directory Access Protocol), beispielsweise Microsofts Active Directory, oder ein RADIUS-Server (Remote Authentication Dial-in User Service). Danach überprüft die Software den angeforderten Webservice, die Operation und die Datenelemente, zum Beispiel die Parameter innerhalb der Nachricht, um sicherzustellen, dass die Anfrage gültig und für den Benutzer autorisiert ist. Je nach Produkt sortiert es entweder vor oder nach der Authentifizierung die nicht „wohlgeformten“ Nachrichten und DoS-Angriffe aus. Zu diesem Zweck prüft die Firewall, ob das Format der Anfrage mit dem entsprechenden Schema konform ist. Alle Nachrichten, die diese Kontrollen bestanden haben, werden an den jeweiligen Webservice weiter geleitet.