Un firewall consiste en una política de seguridad, así como una arquitectura que implante dicha política en la protección de una red. El ejemplo mas sencillo de firewalll es el computador Bastión (bastión host) que separa la red protegida del resto, pero esta configuración no suele ser habitual en redes grandes y con complejas necesidades de seguridad. Una configuración habitual en organizaciones con un tamaño considerable es la división de la red interna en tres zonas, todas ellas con distintos niveles de seguridad: un grupo de computadores directamente conectados a Internet, una zona intermedia que se suele denominar zona desmilitarizada (DMZ, demilitarized zone) y, finalmente, los computadores en la red interna, completamente protegida.

Normalmente, existe un computador con capacidad para filtrado de paquetes entre la zona externa y la DMZ, que se encarga de que solo las conexiones deseadas lleguen a los computadores conectados en la zona desmilitarizada, que son normalmente servidores que deben acceder a esta para obtener datos ( servidores Web, de correo ftp, etc). Los computadores en la DMZ son puntos críticos para la seguridad del sistema, por lo que suelen poseer una configuración especialmente limitada a las funciones que deben realizar, eliminado todos aquellos potenciales agujeros de seguridad que no van a ser necesarios para el correcto funcionamiento de la red (cada servidor, por ejemplo, solo debe escuchar en el puerto que le corresponda.) también hay que procurar que los programas expuestos al exterior sean lo mas sencillos posible. Por ejemplo, es frecuente utilizar un sistema tipo smap/smapd para que reciba el correo y se lo pase a sendmail o qmail, por ejemplo para que haga la gestión definitiva. El servidor que separa la red interna de la DMZ se colocan servidores Proxy’s que permiten que los usuarios de la red interna accedan a servicios externos, pero disponiendo de unas políticas o reglas.