Сетевой экран (firewall, брандмауэр) является или внешним устройством (аппаратное средство) или программным обеспечением, задачей которого является фильтрация пакетов данных, направляемых в компьютер, находящийся под защитой, и высылаемых с него. Пропуск пакетов происходит на основании установленных правил, которые пользователь обычно может переопределять. Если пакеты соответствуют установленным критериям, они пропускаются, в противном случае – блокируются.

Современные брандмауэры реализуют две основные задачи:
• фильтрацию пакетов, то есть оценку соответствия полученного пакета критерию правильности. На основании этой оценки принимается решение о пропуске пакета или его блокировании. Firewall-устройство может осуществлять подобную функцию в несколько иной форме, называемой Stateful Inspection. В этом случае контролю подвергается не все содержимое пакета данных, а лишь его характерные атрибуты (например, адреса IP). Решение о пропуске пакета или его блокировании принимается на основании сравнения считанной информации с записями базы данных, которые представляют дополняющие друг друга пакеты, то есть сравниваются, например, пакеты-ответы с пакетами-запросами. Аппаратные экраны чаще настроены на выполнение фильтрации в форме Stateful Inspection, а блокирование пакетов производится в программных решениях;
• услугу proxy, состоящую в том, что firewall высылает все пакеты от своего имени, а ответы, приходящие в его адрес, он затем рассылает компьютерам, от которых поступали соответствующие запросы. Такой способ маскировки компьютеров локальной сети имеет целью, в частности, сокрытие фактических IP адресов компьютеров локальной сети.

Для домашнего применения вполне достаточно программного брандмауэра.