Le système ISO distingue 7 couches, alors que la pile IP en distingue 4. Donc 7 (ISO) = 4 (IP) = Applications = on est 'dans le protocole', et non juste le type de protocole IP et le n° de port.
Mon avis perso c'est de ne pas utiliser de modules niveau 4 (ou 7, donc) au niveau du firewall.
Concernant Snort (ou autre IPS), ce n'est pas, bien sûr, la bonne place d'être placé sur le firewall !
Un firewall, c'est une machine qui fait un boulot précis, qui doit être rapide, réguliere. Le proverbe qui convient, selon moi : qui trop embrasse, mal étreint !
Mais bon chacun fait comme il veut ... (moi j'ai mes habitudes construites après des années, après des observations, ...)