En brandväggsfunktion (i fortsättningen används endast "brandvägg" när vi avser brandväggsfunktionen) är placerad mellan två nät, och begränsar trafiken mellan dem enligt en i förväg uppgjord policy. En brandvägg utgörs vanligen av flera samverkande komponenter, i första hand routerutrustningar och en speciellt avpassad dator (en s.k. applikationsgateway). All trafik som passerar igenom brandväggen ska kontrolleras och bara den "godkända" trafiken får passera. Brandväggen ska dessutom ha ett tillräckligt "självförsvar" mot angrepp, dvs ett eget skydd mot manipulation. Brandväggen kan utformas i olika säkerhetsklasser. De säkerhetsklasser som används i detta dokument (klass 1, 2 och 3) är inte vedertagna, utan bygger på i dagsläget gjorda bedömningar av säkerhetsmässiga möjligheter med brandväggar.
En brandvägg ska kunna konfigureras så att man kan erhålla logg över såväl normala transaktioner som detekterade säkerhetsöverträdelser. Det är önskvärt att stödverktyg finns så man kan analysera den loggade information med hänsyn till händelser som kan innebära detektion av försök till eller fullbordat intrång. Ett annat exempel på stödverktyg kan vara en funktion som kontinuerligt analyserar loggar och initierar någon form av extern händelse (t.ex. skickar post till administratören) i det fall överträdelser detekteras.
Router
I en brandvägg används en router för att filtrera paket. I de flesta routrar kan man sätta upp accesskontrollistor för varje fysisk port (interface). Accesslistorna kan utformas som kombinationer av avsändare-/mottagareadress, protokolltyp och portadress.
Applikationsgateway
En applikationsgateway är en speciellt anpassad dator, i vilken en eller flera s.k. proxyapplikationer installerats. Även benämningen proxy-server förekommer.
Proxyapplikation
Med proxyapplikation (proxy = ombud eller bulvan) avses en programvara installerad i en applikationsgateway. Proxyapplikationen agerar som en "proxy agent", dvs applikationsgatewayen uppför sig inåt såsom det externa system man kommunicerar med, och utåt som den interna användaren ut mot yttervärlden.
DNS
Domain Name System är Internets distribuerade katalogsystem över nätresurser. DNS är konstruerat utifrån principen att alla system kan kommunicera fritt med varandra och ingen hänsyn är tagen till var "avsändaren" befinner sig i förhållande till "mottagaren".
I det fall man har en brandvägg behövs det två separata katalogservrar som avskiljer myndigheten från det publika Internet; en DNS på var sida om brandväggen.