Normalprincipen för en brandvägg är att tillåta all kommunikation inifrån och utåt medan den förbjuder all trafik åt andra hållet. Sedan sätts regler upp för att godkänna eller förbjuda trafik utifrån olika kriterier (avsändare, trafiktyp)

Två huvudtyper av brandvägg förekommer, dels den paketfiltrerande som enbart tittar på innehållet i trafiken för att avgöra om det är godkänt eller inte. Den andra typen kallas också proxy, vilket innebär att den agerar mellanhand för all trafik. Anropen besvaras av brandväggen och ställer sedan själv frågan mot adressaten med en egen session. Svaret förmedlas sedan tillbaks i den frågandes session. Detta kräver mycket programvara för stöd av alla protokoll.

Ett stort antal mellanting mellan dessa båda existerar också men grundregeln är att proxybrandväggar oftast är säkrare men blir också mer komplexa och dyra. De ställer dock oftast mindre krav på administration.