1- Aislamiento de Internet.
El firewall restringe el acceso hacia/desde la red interna sólo a ciertos servicios, a la vez que analiza todo el tráfico que pasa por el mismo.2- Cuello de botella.
Busca concentrar la administración y monitorización de la seguridad de la red en un solo punto. Mantiene a los atacantes y peligros alejados de la red interna, prohibe en los dos sentidos servicios susceptibles a ataques y proporciona protección ante algunos tipos de ataques basados en el "enrutamiento" de paquetes.3- Auditoría y registro de uso.
Constituye un buen lugar donde recopilar información sobre el uso de la red. En su calidad de punto único de acceso, el cortafuegos puede registrar toda la actividad entre la red exterior y la interior. Con todos estos datos, el administrador puede posteriormente estudiar estadísticamente el tipo de tráfico, las horas de mayor carga de trabajo, el ancho de banda consumido y, por supuesto, todos los intentos de intrusión o las pistas dejadas por un atacante.4- Seguridad de contenidos.
Una característica incorporada por un número cada vez mayor de cortafuegos es la inspección antivirus del material transmitido a través de determinados servicios. Presenta el problema de consumir muchos recursos, ya que se deben descomprimir o decodificar ciertos ficheros (ZIP, MIME, Uuencode), escanearlos y tomar una decisión antes de retransmitirlos dentro de la red.Algunos cortafuegos bloquean también programas en Java, controles ActiveX, guiones en JavaScript o en VisualBasic Script, que pueden ser potencialmente peligrosos, bien formando parte del contenido de un mensaje de correo o de una página web.5- Autenticación.
Algunos cortafuegos permiten autenticarse utilizando métodos sofisticados, basados en tarjetas inteligentes, contraseñas de un solo uso, llaves hardware, etc.6- Ocultamiento del rango de direccionamientos internos de la organización.
Es lo que se conoce como NAT (Network Address Translation) que realiza una traducción de las direcciones de red, de modo que las direcciones de las máquinas internas quedan ocultas cara el exterior. Una posibilidad sería contar con un rango reducido de direcciones válidas en Internet y un elevado número de direcciones privadas para las máquinas internas a las que no se permite un acceso desde la red externa.