non, pas un FW ... un reverse proxy, oui.
Un firewall s'arrete au niveau 3, voire 4 si on inclut la validité des séquences TCP ... mais pas plus loin.
Et c'est bien le plus grand danger, c'est que nombre d'entreprises se sentent protégée car derrière un FW. Hors, de nos jours, a cause justement de l'efficacité des nouveau FW (gestion des états, séquencement TCP, reforgeages des paquets ... ) les attaques se sont déplacées vers le niveau applicatif : une requete DNS mal formée exploitant une faille de l'implémentation win du serveur DNS passe sans probleme un FW. Ce dernier n'est pas fait pour connaitre tous les protocoles du monde, et c'est pas son role.
Pour ca, il faudrait mettre en place un reverse proxy DNS, mais je sais meme pas si ca existe ...