Bức tường lửa có thể là một thiết bị định hướng (Router, một thiết bị kết nối giữa hai hay nhiều mạng và chuyển các thông tin giữa các mạng này) hay trên một máy chủ (Server). Công việc của chúng là ngăn chặn những người dùng không mong muốn truy cập vào mạng và cho phép người dùng hợp lệ thực hiện việc truy xuất. Ngoài ra, nó cũng có khả năng ngăn chặn người bên trong công ty, ngân hàng ... giao tiếp với kẻ xấu bên ngoài; chẳng hạn việc nhân viên giao dịch với đối thủ cạnh tranh.
Bức tường lửa bao gồm phần cứng và/hoặc phần mềm nằm giữa hai mạng (chẳng hạn mạng Internet và mạng liên kết các Ngân hàng). Bức tường lửa này sẽ bảo vệ mạng liên kết giữa các Ngân hàng, cấm người dùng không mong muốn truy cập, cho phép người dùng hợp lệ truy cập, ngăn chặn những thông điệp không tốt (ảnh hưởng đến các hoạt động của công ty) gửi đi ra bên ngoài mạng, chẳng hạn đến đối thủ cạnh tranh.
* Cấu hình tường lửa ngầm định có những đặc điểm sau :
- Tạo ra các kết nối mạng riêng ảo bảo mật tới các thuê bao và các tường lửa - Safepipe khác
- Ngăn cấm việc truy nhập từ Internet tới mạng LAN riêng của bạn
- Cho phép truy nhập từ mạng LAN riêng tới Internet
Ðiều đó có nghĩa là hệ thống được ngầm định để ngăn chặn tất cả các kết nối từ Internet mà không phải là kết nối mạng riêng ảo từ các nút mạng được chỉ định hoặc thuê bao mạng riêng ảo được phép. Nhưng các máy PC trong mạng LAN của bạn lại có thể truy nhập tự do tới các sites trên Internet.
* Cấu hình của Tường lửa có thể thay đổi dễ dàng, chẳng hạn để :
- Cho phép sự truy nhập được bảo mật từ ngoài vào các máy chủ trong nhánh DMZ (thông thường là các web-site trang chủ của bạn), tách biệt hẳn với phần LAN riêng được bảo mật
- Ngăn cấm việc truy nhập từ mạng LAN riêng tới Internet
* Các cấu hình mặc định của firewall được gọi là "sự giả dạng-Masquerade" (Hoặc được gọi là "NAT/PAT", "NAPT" hay "NAT" ).
Những điều này có nghĩa là tất cả các kết nối từ mạng LAN sau bức tường lửa ra ngoài Internet sẽ chỉ xuất hiện 1 địa chỉ IP duy nhất (Gọi là địa chỉ IP công cộng ) và địa chỉ nội bộ của các máy tính trong mạng LAN thì được "dấu" kín, không thể nhìn thấy trên Internet. Lúc đó Firewall chỉ cho phép truyền thông với các giới hạn địa chỉ, quyền truy cập đã thiết lập sẵn và các cổng không được sử dụng sẽ bị loại bỏ.
* Các quyền của Firewall
Các quyền của Firewall được thiết lập thông qua người quản trị với các dịch vụ: "Accept", "Deny", "Reject" hay "NAT-Dịch chuyển địa chỉ" đối với các luồng dữ liệu được nhận bởi firewall.
Các chính sách này sử dụng địa chỉ IP, giao thức mạng, cổng TCP/UDP hoặc giao thức ICMP để ghi nhận các luồng dữ liệu vào và gửi thư cảnh báo nếu phát hiện những hiện tượng bất thường truy cập vào hệ thống.
Người quản trị có thể tạo ra cấu trúc DMZ (Demilitarized Zone) để tăng cường bảo mật đối với mạng LAN nội bộ bằng việc thiết lập "hàng rào" ngăn cản người dùng từ Internet truy cập vào mạng LAN và các máy trạm trong mạng LAN đó truy cập Internet bên ngoài trong khi mạng LAN vẫn được kết nối với máy chủ Web để cập nhật thông tin trực tuyến. Điều này sẽ đảm bảo được sự an toàn dữ liệu nguồn rất cao ngay cả khi máy chủ bị tấn công.