Selve "grunnfunksjonen" i en hvilken som helst firewall vil normalt være en funksjon for pakkefiltrering.
Harware firewalls og softwarefirewalls fungerer i praksis ofte litt forskjellig. Det gjelder for eksempel nokså spessielle problemstillinger for adsl router/modemer med innebygget NAT funksjonalitet. Det spesielle her er at man benytter lokale ip adresser inne på LAN, typisk i nummerserien 192.168.x.x eller 10.x.x.x Disse lokale ip adressene er ikke "rotbare" eller "adresserbare" via internett. En natrouter kan således godt kjøre helt uten pakkefiltrering samtidig som man oppnår en effekt som om det fantes et effektivt pakkefilter ved at NAT mekanismen ikke vil forwarde trafikk inn til LAN med mindre den blir spesielt "instruert" eller konfigurert til å gjøre dette. Arbeidstasjoner inne på lan er derved "sikre" som om det fantes en firewall, selv om ingen firewall i realiteten finnes. Et ADSL modem/router som pleier å være satt opp til å kjøre på denne måten er Cisco 677.
Andre adsl modem/routere kan også benytte en kombinasjon av den beskyttelse som en NAT forbindelse gir sammen med en ordinær pakkefiltrering.
De fleste adsl modemer/routere som fungerer ved hjelp av NAT teknologi dvs som benytter lokale adresser inne på LAN vil ved dette også gi en beskyttelse mot Dos angrep. "Dos trafikken" vil normalt stanse ved Nat routerens inngang også selv om det egentlig ikke finnes noe "filter" slik som for Cisco 677.
Anvendelse av NAT teknologi er sikkerhetsmessig å foretrekke. Ulempen er at denne løsningen kan gi noe dårlligere funksjonalitet for eksempel med hensyn til Multimedia via internett. Man kan for eksempel ha problemer med å sette opp enkelte typer voice forbindelse, men ikke alle.
Hvorvidt man har et dataanlegg som benytter seg av NAT eller ikke i forholt til internett, det kan man vanligvis finne ut ved å gå inn i dos vindu på windows og skrive "ipconfig" eller console i Linux og skrive "ifconfig". Dukker det da opp en typisk lokal adresse, så har man en NAT forbindelse, på godt og ondt. Sjekker man i tillegg opp med
http://www.myip.dk og hvis man finner en annen ip adresse her så kan man være ganske sikker på at det dreier seg om en NAT forbindelse.
For internettoppkoplinger basert på NAT forbindelse, så vil sikkerheten i utgangspunktet og vanligvis være rimelig bra ivaretatt slik at det man så legger til av firewall for eksempel som software firewalls inne på LAN vil komme til som en ekstra bariere no 2. Et slikt sikkerhetsopplegg i flere nivåer er meget bra. Det vil ikke være spesielt ankelt å komme gjennom.
Man kan tenke seg at en hacker kan klare å overta kontrollen over et modem eller en router med den hensikt å bruke dette som en "plattform" for videre angrep inn mot lan. Sikkerhetsbariere no 2, dvs firewall inne på servere og inne på vil da være den sikkerhetsbariere som eventuelt vil tre i funksjon og hindre dette.
Jeg vil mene at det kan være gunstig som en sikkerhetsbariere no 2 å bruke en softwarefirewall som gir varsel dersom noen har klart å passere sikkerhetsbariere no1. Jeg vil mene at for eksempel Zone alarm (eller andre software firewalls) med fordel vil kunne settes opp til å ivareta en slik bariere no 2 funksjon. Den innebygde firewall i Windows 2000/XP er også bra som nivå 2 firewall men her finnes det ingen varslingsfunksjon.