Хорошие взгляды, состояло бы в том, чтобы добавить персональное мое предпочтение
-m state --state NEW
к этим правилам
# Allow ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# Allow httpd
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# Allow SSL
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
И измените политику по умолчанию в отношении ВХОДА, ПЕРЕДАЙТЕ ОТБРАСЫВАНИЮ, делая
# Block all other traffic
iptables -A INPUT -j DROP
избыточный
Википедия является Вашим другом здесь - В основном, Брандмауэр Приложения является брандмауэром, который работает на Прикладном уровне (в противоположность просто сетевому уровню как фильтрующие пакет брандмауэры).
Главное преимущество Брандмауэров Приложения состоит в том, что они могут сказать, что "World of Warcraft позволяют использовать порт 12345, но никто больше не", или "Трафик HTTP на порте 80 в порядке, но если пакеты не похожи на блок данных HTTP их", в зависимости от изощренности рассматриваемого брандмауэра и где это находится в сети (брандмауэр локального приложения знает, что World of Warcraft пыталась использовать порт, где один включил, позже может только сделать проверку пакетов для выяснения, какое приложение это имеет дело с).
Google является также Вашим другом здесь, но по-видимому брандмауэр "приложения" Leopard является действительно просто брандмауэром сокета, позволяя Вам доверять определенным приложениям и портам, во многом как Windows Firewall или Зональное Предупреждение.
Для надлежащего определения брандмауэра приложения см. ответ voretaq7.