A tűzfal különféle programok csoportjából áll össze, és egy hálózat átjáró szerverén fut általában. A cél az, hogy az adott hálózatot megvédjék a külső, más hálózatbeli felhasználóktól. Például egy intranetes hálózat esetében egyrészt védik a belső adatokat, másrészt a tűzfal segítségével azt is szabályozhatják, hogy az internet milyen tartalmai lesznek elérhetőek a hálózaton belüliek számára.
A tűzfal minden egyes hálózati csomagot ellenőriz, mielőtt ki- vagy beengedné. Éppen ezért a tűzfal gyakran egy külön gépen fut, amelynek feladata csak az adatáramlás ellenőrzése.
A tűzfal működtetésének az egyik legegyszerűbb módja a domainnevek és IP-címek ellenőriztetése: ha ezeket biztonságosnak találja, akkor az adatokat is továbbengedi. A tűzfal ellenőrzi az olyan alkalmazásokat is, mint a távoli futtatás, és csak a jelszó megadása után engedi használni az adott gépet.
A piacon számos cég terméke elérhető, ezek általában olyan funkciókat tartalmaznak, mint a naplózás, jelentés, támadások esetén automatikus riasztások, illetve grafikus felületet biztosítanak az üzemeltetőknek.