Ein Benutzer, der über ein Application-Gateway kommunizieren möchte, muss sich zuerst beim Firewall-System identifizieren und autentisieren. Es gibt verschiedene Möglichkeiten, wie diese Authentifizierung von Statten gehen kann.
Danach wird die Kommunikation für den Anwender transparent weitergeführt: Für ihn sieht es so aus, als würde er einen direkten Datenaustausch mit seinem Ziel abhalten. Damit diese Lösung realisiert werden kann, muss auf dem Application-Gateway ein Dienst laufen, der über einen definierten Port ansprechbar ist. Die Pakete an diesen Port werden analysiert und gegebenenfalls weitergeleitet.
Eine solche Software ist in der Regel nur für einen Dienst (HTTP, FTP, SMTP, ...) konzipiert worden und wird als Proxy bezeichnet. Für jeden Dienst, der über das Application-Gateway ansprechbar und weiterleitbar sein soll, muss ein eigener Proxy vorhanden sein, aber auch keine weitere Software, die diesen Dienst ermöglichen könnte.