Para impedir que terceros no autorizados accedan al sistema a través de la red,
se recomienda utilizar un cortafuegos. Mediante una restricción selectiva del tráfico de red, el cortafuegos no sólo repele los accesos indeseados procedentes del exterior, sino que también, en caso de una infección del sistema, impide que el programa dañino "hable con su dueño" y que copie, en ocasiones, más programas dañinos o transfiera datos del sistema al atacante.

Se distinguen dos clases principales de cortafuegos: los que se basan en el hardware y los que se basan en el software.

Los cortafuegos basados en el hardware se colocan físicamente entre la conexión
a Internet y la red que se quiera proteger de modo integral. Muchos routers DSL tienen ya algunas funcionalidades básica de cortafuegos. Los cortafuegos de hardware dividen la red interna que protegen de la red externa (es decir, de Internet) de forma lógica.

Los cortafuegos de software vienen incorporados en los sistemas operativos, pero no siempre tienen la amplitud de funciones de un programa cortafuegos independiente. El programa cortafuegos se instala directamente en el ordenador que se vaya a proteger y desde allí controla el tráfico de red que sale y entra en el sistema protegido por él. Este tipo de software se denomina también "cortafuegos de escritorio" o "cortafuegos personal".

Un cuerpo de reglas especial del cortafuegos determina qué paquetes de red están
autorizados a pasar y a cuáles se les bloquea el paso. La diferenciación entre los paquetes autorizados y los inadmisibles se efectúa con arreglo a diversos criterios.

Por un lado puede concederse relevancia a las direcciones IP y a los números de puerto, por otro se puede tomar como base la aplicación que inicie la conexión en el sistema local para decidir si la conexión se admite o se rechaza.

Cuando se establece una conexión que no está regulada por el cuerpo de reglas, se ofrece la posibilidad de crear una nueva regla, en función de la preconfiguración del
cortafuegos y utilizando un cuadro de diálogo interactivo. A partir de entonces, esta norma permite automáticamente la conexión, la bloquea o la impide sin consulta previa. La actuación del cortafuegos depende siempre del grado de rigor con que se haya configurado.

Los diálogos frecuentes solicitando confirmación pueden suponer un obstáculo para los usuarios inexpertos, sobre todo en la fase inicial; por eso, el cortafuegos que traen los productos de seguridad de G DATA ofrece un modo de "piloto automático". Cuando está activado, se suprimen los cuadros de consulta. El cortafuegos cuenta con el escáner de virus para decidir si permite o no a una aplicación establecer conexiones de red, porque primero deja que el escáner de virus compruebe el proceso que desea establecer la conexión. También los jugadores en línea se benefician de la función de piloto automático, porque la conexión del programa de juego con el servidor se puede realizar sin que el jugador tenga que salir del modo de pantalla completa para confirmar los cuadros de diálogo del cortafuegos. Simultáneamente, sólo se admiten las conexiones legítimas, lo que deja fuera de juego a los atacantes que quieran introducirse en el ordenador.