Eine Firewall bietet eine Schutzfunktion des lokalen Netzes oder lokaler Geräte vor unberechtigten Verbindungsversuchen aus dem öffentlichen Internet. Sie kann auf reiner Software oder auf einer Kombination aus Soft- und Hardware basieren. Die Firewallfunktion ist in der Lage, sowohl den eingehenden als auch den ausgehenden Datenverkehr zu kontrollieren und bei Bedarf zu sperren oder durchzulassen. Sie erfasst die Daten zwischen einem externen (öffentlichen) und internen (lokalen) Netz oder Anschluss. Im privaten Umfeld sind Firewallfunktionen oft im Internetzugangsrouter implementiert. Es kann sich aber auch um nachgeschaltete dedizierte Geräte handeln.
Grundsätzlich kann zwischen einer Personal Firewall und einer externen Firewall unterschieden werden. Die Personal Firewall arbeitet auf dem zu schützenden Gerät selbst. So sind zum Beispiel Windows-Rechner mit softwarebasierten Firewallfunktionen ausgestattet, die den Verkehr des Rechners kontrollieren. Eine externe Firewall ist nicht auf dem zu schützenden Gerät installiert, sondern auf einer separaten Hardware, die sich zwischen zwei Netzwerksegmenten befindet. Sie kann die Zugriffe zwischen den beiden Netzen beschränken und ist von den angeschlossenen Endgeräten unabhängig.
Um einen wirksamen Schutz sicherzustellen, ist die Firewallfunktion in der Lage, den Datenverkehr auf Basis von Ziel- und Absenderadressen, Ports und Protokollen zu analysieren. Definierte Regeln sorgen dafür, dass nur bestimmte Netzwerkpakete die Firewall passieren. Wichtige Bestandteile sind ein Paketfilter inklusive Port- und Protokollfilter, Funktionen rund um Network Address Translation (NAT) und die Möglichkeit, Pakete unterschiedlichen Verbindungsstati zuzuordnen (Stateful Inspection). Für spätere Analysen ist die Protokollierung von abgewiesenen Paketen unentbehrlich.
Bei der Konfiguration lassen sich zwei grundlegende Strategien verfolgen. Eine Strategie besteht darin, zunächst sämtlichen Verkehr zu sperren und nur gewünschte Verbindungen mit später definierten Regeln zu erlauben. Die konträre Strategie erlaubt sämtlichen Verkehr und sperrt regelbasiert nur die unerwünschten Verbindungen.
Oft fungiert die Firewall auch als zentraler Endpunkt für virtuelle private Verbindungen (VPN-Verbindungen). Diese erlauben es Endgeräten aus dem Internet, verschlüsselte Verbindungen in das interne Netzwerk aufzubauen.