Eine Firewall verhindert Angriffe von außen. Mit einer Firewall können Regeln erstellt werden, die die Weiterleitung von Datenpäckchen festlegen. Ports können teilweise oder ganz gesperrt werden. Einen Port kann man sich als eine Art "Tor" vorstellen, über die Datenpakete "Eintritt" in ein Netzwerk bekommen können.

Die einfachste Form eines Firewalls ist der Paketfilter. Die Grafik unten zeigt den Anschluß des internen Netzes an das Internet über einen Router, der als Paketfilter arbeitet. Pakete auf dem Weg von innen nach außen können den Paketfilter passieren, falls der Dienst freigegeben ist. Anfragen aus dem Internet werden am Firewall abgefangen und abgelehnt oder angenommen. Der Paketfilter kann so konfiguriert werden, daß die dahinterliegenden Rechner im Intranet nach außen »unsichtbar« sind.

Die Paketfilterung basiert auf dem IP-Netzwerkkonzept. Jedes einzelne Paket, das den Router passiert, wird untersucht. Somit kann festgestellt werden, von welcher Adresse die Daten kommen, zu welcher Adresse die Daten gelangen sollen, welches Transportprotokoll (TCP, UDP oder ICMP) verwendet wird und welcher Dienst dazu benutzt wird.

Bei geringen Anforderungen reicht es, vor das zu schützende Netzwerk (Intranet) einen einzigen Firewall-Rechner (Überwachungsrouter, Packetfilter) zu stellen. Bei mittleren bis hohen Anforderungen sollte man sich jedoch für ein zweistufiges System entscheiden. Hier sind zwei Firewalls (ein äußerer und eine innerer Packetfilter) über eine sog. demilitarisierte Zone (DMZ) - manchmal auch Grenznetz genannt - miteinander verbunden.

Auf diese Weise ist das Intranet noch geschützt, selbst, wenn die äußere Firewall "gehackt" worden sein sollte. Außerdem können in dieser DMZ Rechner/ Server aufgestellt werden, die einer ausgewählten Öffentlichkeit (z.B. Kunden) zugänglich gemacht werden sollen, ohne dass diese gleich Zugriff auf das gesamte interne Netzwerk benötigen.