Der TIS Toolkit enthält folgende Proxies:
Der telnet-Proxy ermöglicht die sichere Benutzung des telnet-Protokolls durch den Firewall. Der Verbindungsaufbau erfolgt in zwei Schritten: Der Benutzer eröffnet eine telnet-Verbindung zum Firewall, wo der telnet-Proxy über den inetd-Daemon gestartet wird. Je nach Konfiguration des Proxies findet dann eine Authentifikation des Benutzers statt. Nach erfolgter Authentifikation gibt der Benutzer einen Rechner an, der das eigentliche Ziel der Verbindung sein soll. Die Entscheidung über die Zulässigkeit der Verbindung wird aufgrund der IP-Adressen von Quell- und Zielrechner sowie aufgrund der Identität des Benutzers getroffen. Jeder Verbindungswunsch, egal ob gestattet oder zurückgewiesen, erzeugt einen Eintrag im Log-File.
Um die Notwendigkeit einer zweifachen Authentifizierung, einerseits am Firewall und andererseits am jeweiligen Zielrechner, zu umgehen, exisitiert ein Proxy für rlogin. Der rlogin-Proxy läßt sich genau wie der telnet-Proxy konfigurieren und ist darüberhinaus in der Lage, die entsprechende Verbindung in nur einem Schritt aufzubauen. Hierbei wird ausgenutzt, daß das rlogin-Protokoll einen alternativen Benutzername beinhalten kann, der beim login verwendet werden soll. Statt diesem Benutzernamen gibt man eine Kombination aus gewünschtem Zielrechner und Benutzernamen in der Form user@host an. Die Verbindung wird dann automatisch erzeugt.
Um file transfer durch den Firewall zu ermöglichen, enthält der TIS Toolkit einen FTP-Proxy. Der Verbindungsaufbau erfolgt wiederum zweistufig, d.h. ein Benutzer eröffnet eine FTP-Verbindung zum Firewall und gibt dort seinen Namen in der Form user@host an. Nach eventueller Authentifizierung des Benutzers wird die Verbindung zu dem angegebenen Rechner aufgebaut, wenn das Konfigurationfile eine Regel enthält, die eine derartige Verbindung gestattet. Nach Aufbau der Verbindung werden die übertragenen Kommandos überwacht und es kann für jedes Kommando einzeln festgelegt werden, ob ein derartiges Kommando übertragen werden soll, ob bei Eintreffen dieses Kommandos ein Log-Eintrag vorgenommen werden soll, ob das Kommando nur nach vorhergehender Authentifizierung des Benutzers gestattet werden soll oder ob das Kommando ganz verboten werden soll.
Weiterhin existiert ein HTTP-Daemon, der Verbindungen zu HTTP-servern sowie zu gopher-servern gestattet. Wiederum ist es möglich, den Benutzer zu authentifizieren, nur Verbindungen zwischen bestimmten Rechnern oder Subnetzen zu gestatten sowie nur bestimmte Kommandos zuzulassen. Auch ein selektives Logging einzelner Kommandos kann erfolgen. Der HTTP-Proxy arbeitet sowohl mit clients, denen die Existenz eines Proxies bekannt ist als auch mit den Standard-Versionen.
Der X11-Proxy wird vom telnet-Proxy oder von rlogin-Proxy aus gestartet. Somit beinhaltet er keine eigenen Authentifizierungsmaßnahmen. Ein client, der auf einen X-server auf der anderen Seite des Firewalls zugreifen möchte, leitet seine Ausgaben auf ein virtuelles display auf dem Firewall, von wo aus die Verbindung zum tatsächlichen display des Benutzers aufgebaut wird. Bevor dies geschieht, muß aber der entsprechende Benutzer bestätigen, daß es sich um eine rechtmäßige Verbindung zu seinem X-server handelt. Hierzu wird auf seinem Bildschirm ein Fenster geöffnet, daß um eine Bestätigung der Verbindung bittet. Ist dies nicht der Fall, so wird die Verbindung abgebrochen.
Electronic mail wird bei Verwendung des TIS FWTK durch einen dreigeteilten Proxy weitergeleitet. Eine eintreffende Nachricht wird zuerst von einem Programm namens smap empfangen, das eine minimale Version des SMTP-Protokolls implementiert. Dieses Programm legt die mail in einem Verzeichnis ab, das in regelmäßigen Abständen von einem zweiten Programm, dem sogenannten smapd-Daemon untersucht wird. Dieser Daemon gibt alle in diesem Verzeichnis gefundenen Nachrichten an das sendmail-Programm weiter, das die Weiterleitung der mail übernimmt. Sendmail läuft hier nicht als Daemon sondern wird von smapd jeweils neu gestartet.