C'est le principe expliqué plus haut pour les firewall de type SOCKS : lorsqu'un utilisateur veut accéder au monde extérieur, il doit effectuer une certaine manoeuvre (exemple : faire un telnet sur un hôte, se loger et lancer un certain programme), ce qui lui ouvre un accès vers l'extérieur. L'intérêt principal est de pouvoir garder traces de toutes les demandes effectuées par les utilisateurs, et aussi d'avoir un système qui marche pour la plupart des applications (pour un firewall SOCKS, il faut une application ``socksifiée'', ce qui demande au moins une recompilation - pas de problème sous Unix, mais sous Windows... ouh làlà...). C'est cependant peu pratique de devoir faire un telnet à chaque fois qu'on veut accéder au réseau ; de plus les utilisateurs peuvent être tentés de faire un petit programme qui automatise le telnet en tapant leur login et leur mot de passe ; et quelqu'un pourrait récupérer ce programme et en extraire ces informations, usurpant l'identité de l'utilisateur.