Proxy Services são especializados em aplicações ou programas servidores que rodam em um Firewall host : tanto num dual-homed host com interface para as redes interna e externa, quanto num outro bastion host com acesso a Internet e acessível de máquinas internas. Esses proxies pegam as requisições dos usuários para serviços da Internet e passam essas requisições adiante para os serviços de facto, se elas estiverem de acordo com a política de segurança vigente. Os proxies provêm novas conexões em substituição as antigas e agem como gateways para os serviços. Por essa razão, os proxies são conhecidos como Application-level Gateways .

Dessa forma, os Proxy Services estão, de maneira mais ou menos transparente, entre o usuário na rede interna e o serviço na rede externa (a Internet). Ao invés desses dois elementos comunicarem entre si diretamente, eles comunicam com o proxy. Os proxies cuidam de toda a comunicação entre os usuários e os serviços disponíveis na Internet.

Transparência é o maior benefício dos Proxy Services . Para o usuário, o servidor proxy dá a ilusão de que ele está lidando diretamente com o servidor real. Para o servidor real, o servidor proxy age como se o servidor real estivesse lidando direntamente com o cliente no proxy host.

Observação: Proxy Services só funcionam bem se usados em conjunto com mecanismos que restrigem a comunicação direta entre as redes interna e externa. Bons exemplos são os Dual-homed hosts e packet filtering.

Como os Proxy Services funcionam

Como mostra o diagrama abaixo, um Proxy Service possui dois componentes: o servidor proxy e o cliente proxy. Nesse caso,o servidor proxy roda no dual-homed host. O cliente proxy é uma versão de um programa cliente normal (isto é, um cliente Telnet ou cliente FTP) que conversa com o servidor proxy ao invés do servidor "real" na Internet. Além disso, se procedimentos especiais forem utilizados pelos usuários, programas clientes normais podem ser usados como clientes proxy. O servidor proxy examina os pedidos do cliente proxy e decide qual deles deve aprovar e quais deve reprovar. Se o pedido é aprovado, o servidor proxy contacta o servidor real no lugar do cliente (daí a razão do termo proxy), e continua a mandar os pedidos do cliente proxy para o servidor real, bem como as respostas desse servidor para o cliente.

Utilização de Proxy Services com Dual-homed Host:

Em alguns sistemas de Proxy Services, ao invés de se instalar softwares típicos de clientes proxy, são usados softwares comuns, mas são modificados os procedimentos usuais do cliente para utilizá-lo.

Um Proxy Service é apenas uma solução de software, não uma arquitetura de Firewalls. Dessa forma, ele pode ser utilizado em conjunto com qualquer uma das arquiteturas que serão descritas nas seções seguintes.

Os servidores proxy podem não só passar adiante os pedidos dos usuários para os servidores reais. O servidor pode controlar também o que os usuários fazem, porque ele pode tomar decisões das requisições que ele processa. Dependo da Política de Segurança do site onde eles estejam, o FTP proxy pode recusar pedidos de exportação de arquivos, ou deixar que os usuários importem arquivos apenas de determinados sites.

Há numerosos exemplos de softwares( veja seção de exemplos), incluindo softwares de domínio público que suportam sistemas proxy bastante genéricos.