Zadaniem firewalla jest odseparowanie zasobów wewnętrznego LAN-u od ogólnodostępnej sieci zewnętrznej WAN, takiej jak np. Internet. Firewall instalowany jest zwykle na punkcie styku obu sieci i chroni wewnętrzny LAN przed atakami i próbami włamania się do niego. Dzięki skoncentrowaniu w jednym punkcie całego przechodzącego ruchu sieciowego możliwa jest kontrola wszystkich informacji przesyłanych w obu kierunkach, a wszelkie próby nielegalnego lub nieautoryzowanego dostępu do sieci LAN, np. przez wirusy lub trojany, zostaną wychwycone.

Ze względu na funkcjonalność, realizację (programową lub sprzętową) oraz zakres chronionego obszaru firewalle można podzielić na kilka kategorii. Pierwszą naturalną klasyfikacją zapór ogniowych jest ich podział na firewalle programowe i sprzętowe. Pierwsze z nich to po prostu programy działające na komputerze, który pełni m.in. funkcję routera na styku Internetu z wewnętrzną siecią i zainstalowano na nim specjalne oprogramowanie filtrujące cały ruch wchodzący oraz wychodzący do i z LAN-u. Oddzielną kategorią zapór software'owych są osobiste firewalle, takie jak np. ZoneAlarm, Outpost Firewall czy Comodo Personal Firewall, instalowane na poszczególnych komputerach i mające za zadanie ochronę pojedynczego stanowiska roboczego.

Zapory sprzętowe to zaś gotowe, przeznaczone do filtrowania i analizy pakietów urządzenia wyposażone w specjalne układy scalone i wewnętrzne (pisane pod ich potrzeby) oprogramowanie. Sprzętowe firewalle są zwykle zamknięte w niewielkiej obudowie i bardzo często oprócz funkcji zapory ogniowej wykonują inne zadania, np. szyfrują przesyłanie danych. Najczęściej jednak sprzętowy firewall wbudowany jest w inne aktywne urządzenie sieciowe, takie jak sprzętowy router czy wieloportowy switch. Konfiguracja takiego urządzenia odbywa się bezpośrednio przez podłączenie komputera do tzw. wejścia konsolowego lub pośrednio za pomocą sieci LAN, przy wykorzystaniu przeglądarki WWW. Wydajność sprzętowego firewalla zależy od mocy obliczeniowej i konstrukcji użytych w nim układów, a możliwości przede wszystkim od sterującego nim wewnętrznego oprogramowania i dostępnych, realizowanych sprzętowo przez wewnętrzną elektronikę urządzenia funkcji.

Zadaniem firewalla jest odizolowanie zasobów wewnętrznej sieci od niebezpieczeństw związanych z bezpośrednim podłączeniem się do sieci zewnętrznej.

W stosunku do programowych zapór ogniowych największą zaletą sprzętowych firewalli jest to, że są one wydajniejsze, ze względu na zastosowane w nich wyspecjalizowane układy. Znacznie trudniej też się do nich włamać osobom niepowołanym. Zaawansowane zapory potrafią też filtrować pakiety i stosować do ich analizy reguły niedostępne dla rozwiązań software'owych, które uruchamiane są na zwykłych komputerach ze względu na zbyt małą moc obliczeniową tych ostatnich (tym bardziej że muszą one jednocześnie wykonywać też inne zadania).

Trzeba jednak zaznaczyć, że granica pomiędzy firewallem sprzętowym a programowym coraz częściej jest zacierana. Istnieje bowiem spora grupa wyspecjalizowanych, profesjonalnych urządzeń, bazujących na konstrukcji zwykłych wieloprocesorowych komputerów, do których wgrywa się wyspecjalizowane oprogramowanie zapory ogniowej. Całość umieszczona zaś jest w niewielkiej, typowej dla firewalla obudowie, wyposażonej wyłącznie w wyjścia sieciowe. Są to tak zwane systemy software’owo-hardware’owe wykorzystywane przede wszystkim w dużych firmach i bankach. W takich rozwiązaniach technologicznych specjalizuje się na przykład Nokia, która sprzedaje swoje firewalle Nokia IP650, IP530, IP440, IP330, IP110 z preinstalowanym oprogramowaniem FireWall-1 firmy Check Point. Innymi producentami oferujących w Polsce sprzętowo-programowe firewalle z aplikacjami Check Point są m.in. Intrusion i Crossbeam. Software’owo-hardware’owym często wykorzystywanym w zastosowaniach korporacyjnych firewallem jest również system Cisco PIX.