Der Begriff "Firewall" läßt sich mit "Brandmauer" übersetzen. Tatsächlich ist eine Firewall jedoch eher eine Durchgangskontrolle als eine Mauer. An der Durchgangskontrolle werden sowohl eingehende als auch ausgehende Daten kontrolliert.
In der Regel wird eine Firewall zwischen einem LAN/WAN und einem externen Netzwerk bzw. bei größeren Unternehmen auch zwischen Netzwerken verschiedener Sicherheitsstufen installiert.

Die beiden grundlegenden Elemente von Firewalls sind Paketfilter und Proxies. Zusammen mit der Security Policy ergeben diese den eigentlichen Firewall.

Paketfilter kontrollieren den Netzwerkverkehr, indem sie Pakete analysieren und deren Weiterleitung "filtern". Das heißt, sie lassen die eintreffenden Pakete entsprechend passieren oder verweigern die Weiterleitung. In letzterem Fall wird das Paket entweder kommentarlos verworfen oder mit einer Meldung zurückgeschickt.
Die Entscheidungen des Paketfilter richten sich ausschließlich nach Routinginformationen.

Proxies dahingegen können zusätzlich auch Verbindungsinhalte sowie übertragene Daten und Kommandos prüfen. Proxy bedeutet "Stellvertreter", und genau das ist auch seine Aufgabe.
Ein Proxy prüft die Anfrage eines Arbeitsplatzrechners und leitet sie ggf. an den Internetserver weiter. Werden Proxies speziellen Internetdiensten zugeschrieben, können sie einer Verbindung wesentlich mehr entnehmen als Paketfilter.

Von der Basiskombination "Proxy-Paketfilter" ausgehend können dann Erweiterungen und Konfigurationen vorgenommen werden, die den Schutz eines Netzwerkes nochmals verstärken.