Zapora sieciowa oferuje funkcję zabezpieczającą lokalną sieć lub urządzenia przed nieuprawnionymi próbami nawiązania połączenia z Internetu. Może ona bazować tylko na oprogramowaniu lub na połączeniu oprogramowania ze sprzętem komputerowym. Funkcja zapory jest w stanie kontrolować przychodzący oraz wychodzący przepływ danych i w razie konieczności do zablokowania lub przepuszczenia. Rejestruje ona dane pomiędzy zewnętrzną (publiczną) a wewnętrzną (lokalną) siecią lub łączem. W prywatnym otoczeniu funkcje zapory są często zaimplementowane w routerze z dostępem do Internetu. Może tu też chodzić o dołączone, dedykowane urządzenia.
Zasadniczo rozróżnia się pomiędzy osobistą a zewnętrzną zaporą sieciową. Osobista zapora sieciowa sama pracuje na chronionym urządzeniu. W ten sposób komputery z systemem operacyjnym Windows są wyposażone w funkcję zapory opartą na oprogramowaniu, która kontroluje przepływ danych na komputerze. Zewnętrzna zapora nie jest zainstalowana na chronionym urządzeniu, tylko na osobnym sprzęcie komputerowym, który znajduje się pomiędzy dwoma segmentami sieci. Może ona ograniczać dostęp pomiędzy dwoma sieciami i jest niezależna od podłączonych urządzeń końcowych.
Aby zagwarantować skuteczną ochronę, funkcja zapory jest w stanie przeanalizować przepływ danych na podstawie adresów docelowych i nadawcy, portów i protokołów. Zdefiniowane zasady dbają o to, że tylko określone pakiety sieciowe przekraczają zaporę. Ważnymi elementami są filtry pakietów łącznie z filtrami portów i protokołów, funkcjami powiązanymi z translacją adresów sieciowych (NAT) i możliwość przyporządkowywania pakietów do różnych statystyk połączeń (Stateful Inspection). Do późniejszej analizy niezbędne jest protokółowanie odrzuconych pakietów.
Przy konfiguracji można skorzystać z dwóch zasadniczych strategii. Jedna wpierw blokuje cały przepływ i pozwala na wybrane połączenia z później zdefiniowanymi zasadami. Druga umożliwia całkowity przepływ i blokuje wcześniej ustawione niepożądane połączenia.
Często zapora sieciowa funkcjonuje jako centralny punkt końcowy dla połączeń wirtualnej sieci prywatnej (VPN). Umożliwiają one urządzeniom końcowym z Internetu na nawiązywanie szyfrowanych połączeń z wewnętrzną siecią.