Urządzenie zapory to aplikacja zaprojektowana w celu ograniczenia dostępu między dwiema sieciami w celu zapobiegania nieautoryzowanemu dostępowi. Istnieje wiele typów urządzeń zapory. Niektóre działają jako część systemu operacyjnego, podczas gdy inne są dedykowanymi aplikacjami. Najczęstsze typy to filtr pakietów, filtr pakietów stanowych, brama aplikacji lub serwer proxy oraz system ochrony przed włamaniami (IPS) lub system wykrywania włamań (IDS). Istnieją również inne urządzenia typu firewall, ale często nie są one tak skuteczne.
Filtry pakietów dokładnie badają każdy pakiet informacji, który dostaje się do sieci i zezwala lub odmawia jego wejścia na podstawie wcześniej ustalonych reguł użytkownika. Reguły te mogą obejmować takie czynniki, jak źródłowy adres protokołu internetowego (IP), czy pakiet próbuje nawiązać połączenie oraz protokoły, takie jak protokół kontroli transmisji (TCP), protokół datagramów użytkownika (UDP) oraz Internetowy protokół wiadomości kontrolnych (ICMP).
Stanowy filtr pakietów, znany również jako dynamiczny filtr pakietów, jest zasadniczo uaktualnieniem oryginalnego filtru pakietów. Może zarządzać regułami jak jego poprzednik, ale może również monitorować aktywne połączenia, a następnie wykorzystywać te dodatkowe informacje, aby lepiej ocenić, czy przychodzący pakiet jest bezpieczny, czy niebezpieczny. Ten typ zapory jest wygodniejszy, ponieważ umożliwia użytkownikowi w intranecie żądanie dostępu do treści, które normalnie nie byłyby dozwolone przez zaporę.
Brama aplikacji, znana również jako brama na poziomie aplikacji, jest jeszcze bardziej inteligentnym i zaawansowanym urządzeniem zapory. Działa jako pośrednik lub serwer proxy między komputerem lub serwerem a systemem zdalnym, który żąda dostępu. Jeśli żądanie przychodzące przejdzie uwierzytelnianie, brama pobiera następnie odpowiednie informacje i przesyła je z powrotem do zdalnego serwera. Oznacza to, że jednocześnie działają dwa jednoczesne połączenia, czyli to między serwerem a bramą i to między bramą a zdalnym serwerem.
Ostatnie dwa urządzenia firewall to IPS i IDS. IPS działa w trybie inline, wykrywając i blokując przychodzące ataki, podczas gdy IDS jedynie wykrywa ataki, a następnie ostrzega administratora. Chociaż IPS jest skuteczniejszym urządzeniem zapory sieciowej, zużywa znacznie więcej zasobów systemowych, ponieważ działa w trybie inline. Z drugiej strony IDS nie zapycha pamięci, ale też nie zapewnia tak dużej ochrony. W związku z tym system IDS jest zazwyczaj połączony z innym urządzeniem zapory, takim jak filtr pakietów stanowych lub brama aplikacji.