Zapora sieciowa jest umieszczana między siecią wewnętrzną organizacji i siecią zewnętrzną. Dostarcza ona prostego mechanizmu kontroli ilości i rodzaju ruchu sieciowego między obydwoma sieciami. Podstawowym jej zadaniem jest ograniczenie przepływu danych między tymi sieciami. Przed postawieniem zapory trzeba określić, jakie rodzaje danych mają być przez nią przepuszczane, a jakie nie. Czyli trzeba zdefiniować politykę zapory. Następnie należy skonstruować mechanizmy, które umożliwią wprowadzenie tej polityki w życie.

Do podstawowych działań realizowanych przez zaporę należy zaliczyć:

• Blokowanie dostępu do całej sieci z określonych miejsc w sieci zewnętrznej.
• Blokowanie dostępu do wybranych serwerów i usług określonym użytkownikom.
• Monitorowanie komunikacji między sieciami. Przykładowo rejestracja końcowych punktów połączeń i ilość przesyłanych danych.
• Podsłuchiwanie i rejestrowanie komunikacji między sieciami w celu badania przypadków penetracji sieci, wykrywania intruzów i wewnętrznych sabotażystów.
• Tunelowanie. Automatyczne szyfrowanie i deszyfrowanie pakietów. Sieć zewnętrzna staje się własnym połączeniem typu WAN (prywatna sieć wirtualna - Virtual Private Network).
• Uwierzytelnianie. Użytkownicy sieci zewnętrznej muszą uwierzytelnić się wobec zapory.

Podstawowe mechanizmy spotykane w implementacjach zapór to:

• Filtrowanie pakietów (packet filtering)- odrzucanie pakietów nie spełniających reguł zapory.
• Translacja adresów (network address translations) - dokonywanie zamiany adresu hosta wewnętrznego w celu ukrycia go przed zewnętrznym monitorowaniem.
• Usługi proxy - dokonywanie połączenia na poziomie aplikacji w imieniu hosta wewnętrznego. Przerywa połączenie na poziomie warstwy sieciowej.