En brandvägg utgörs vanligen av flera samverkande komponenter, i första hand routerutrustningar och en speciellt avpassad dator (en s.k. applikationsgateway, här förkortad AGW).
En router används huvudsakligen för att filtrera på nätskiktet (skikt 3, dvs i IP-protokollet). En applikationsgateway används huvudsakligen för att hantera protokollskikt över skikt 3. Gränserna är dock inte helt strikta, t.ex. kan en router även spärra eller tillåta trafik beroende på protokollinformation på transportskiktet (TCP/UDP).
Följande nätskiss ger en logisk bild av en brandväggsfunktion.
BILD 2