Die folgenden Erklärungen geben einen extrem rudimentären Einblick in die unterschiedlichen Funktionen von Firewalls. Zum leichteren Verständnis bleiben wir beim Bild des Türstehers, der es mit ankommenden Paketen zu tun hat:
Die Standard-Firewalls enthalten sogenannte Paketfilter. Sie schauen, bildlich gesprochen, auf den Adressaufkleber eines jeden Datenpakets und entscheiden anhand eines statischen Regelsatzes, ob es ein- bzw. ausgeliefert werden darf. Diese Funktion ist eine Grundlage aller Firewalls.
Eine Weiterentwicklungsstufe ist die sogenannte stateful inspection, die man auch als dynamische Paketfilterung beschreibt. Die statischen Regeln wurden hier erweitert und, kurz gefasst, um die Untersuchung des Verbindungsstatus erweitert. Es wird sozusagen geschaut, ob der Empfänger des Pakets auch bereit für den Empfang ist, das Paket annehmen kann und will. Kommt eine Verbindung erfolgreich zustande, unterliegt auch diese bestimmten Regeln und wird streng überwacht.
Die nächste optionale Stufe ist die Filterung von Datenströmen auf der Ebene der Applikationen, auch Proxy-Firewall genannt. Hier werden die Pakete nicht nur angesehen und weitergereicht, sondern es wird auch ihr Inhalt überprüft. Man bezeichnet diese Vorgehensweise als Deep Packet Inspection. Dazu können mehrere Pakete ggf. auch am Eingang aufgehalten werden, bis klar ist „alles ok, weiter zum Empfänger.“ Häufig werden durch Regeln im Proxy aktive Webseiteninhalte durch die Firewall blockiert, um eine Infektion des Rechners zu verhüten.
Erweiterungsmöglichkeiten zu einer komplexen Firewall bieten Module für die Erkennung von unerlaubten Eingriffen (Intrusion Detection System, kurz IDS) und auch die Prävention unerlaubter Eingriffe (Intrusion Prevention System, kurz IPS). Eine Firewall kann auch ein Endpunkt für einen VPN-Tunnel sein.