Im Gegensatz zu den zustandslosen Paket-Filtern, die nur ein Logging jedes einzelnen Paketes durchführen können, kann ein TCP-Relay mit einigen wenigen Log-Einträgen die gesamte Verbindung beschreiben. Meist wird ein Eintrag bei Aufbau der Verbindung angelegt, der Informationen über den Zeitpunkt, den benutzen Dienst und den verwendeten Authentifikationsmechanismus enthalten kann. Bei Ende der Verbindung wird dann ein weiterer Eintrag vorgenommen, der genaue Informationen über die Dauer der Verbindung sowie über die übertragene Datenmenge enthalten kann. Dies reduziert die Anzahl der erforderlichen Einträge natürlich erheblich, sodaß meist auf eine weitere Formatierung verzichtet werden kann.
Ebenso könnten verschiedene Alerting-Mechanismen in ein TCP-Relay integriert werden, die bei Eintreffen eines bestimmten Ereignisses in irgendeiner Form einen Verantwortlichen verständigen.
Wie bereits mehrfach erwähnt, besteht die Möglichkeit, bei Verwendung eines TCP-Relays die Identität eines Benutzers über einen beliebigen one-time password Mechanismus zu überprüfen.
Hier verhält es sich genau wie beim Paket-Filter. Die Sicherheit der Firewallkomponenten muß anhand eines konkreten Beispiels untersucht werden. Die einzige Aussage, die sich allgemein in diesem Zusammenhang über TCP-Relays treffen läßt ist, daß die Existenz von User-Accounts auf dem Firewall nicht erforderlich ist.
Es besteht die Möglichkeit einer Zweiteilung des domain name services. Da externe Rechner nur mit dem Firewall kommunizieren, der wiederum die Verbindung zu den internen Rechnern aufrechterhält, ist es ausreichend, wenn im externen Netz die Adresse des Firewalls bekannt gemacht wird.
Die Installation und Konfiguration ist nicht sehr aufwendig. Die Konfiguration gestaltet sich etwas leichter als beim Paket-Filter, da weniger Informationen zu untersuchen sind und somit die Möglichkeiten, daß sich Regeln gegenseitig beeinflussen, geringer sind. Die Gefahr besteht aber trotzdem, sodaß größte Sorgfalt bei der Aufstellung der Regeln angebracht ist.
Sofern es sich um TCP-basierende Dienste handelt, ist die Integration dieser Dienste sehr leicht durch das Einfügen von Filterregeln zu bewerkstelligen.
Weitere Aussagen über die Administration von TCP-Relays lassen sich nicht treffen, hierzu müßte ein konkretes Produkt herangezogen werden.
Bei der Untersuchung der Transparenz eines TCP-Relays zeigt sich der wesentliche Nachteil dieses Konzeptes gegenüber dem Paket-Filter: Ein TCP-Relay ist nicht transparent. Denkbar wäre ein zweistufiger Verbindungsaufbau, der den Firewall für die Benutzer nicht transparent erscheinen lassen würde, meist wird aber eine Änderung der Anwendungen vorgenommen, sodaß die Transparenz für die Benutzer gewahrt bleibt.
Die Performance eines TCP-Relays dürfte im allgemeinen etwas besser sein als die eines Paket-Filters, da eine Untersuchung der Regeln nur beim Eintreffen des ersten Paketes einer Verbindung durchgeführt werden muß. Da die Pakete im Firewall nur bis zur Schicht 4 bearbeitet werden müssen, ist der Performance-Verlust durch den Firewall relativ gering zu erwarten.
TCP-Relays erfordern einen dedizierten Rechner, auf dem die Firewallsoftware läuft. Das bedeutet, daß zusätzlich zum Preis für die Software noch die Anschaffung eines leistungsfähigen Rechners einkalkuliert werden muß.