A rendszerhez a hálózaton keresztül kívülről történő hozzáférés megakadályozása érdekében javasoljuk a tűzfal használatát. Ez a hálózati forgalom célzott lekorlátozásával nem csak megakadályozza, hogy kívülről, nem kívánt személyek hozzáférjenek a géphez, hanem a rendszer fertőzése esetén megakadályozza, hogy a károkozó "hazatelefonáljon" és bizonyos körülmények esetén további káros szoftvereket rátöltsön, vagy a saját rendszer adatait elküldje a támadónak.

Ezzel kapcsolatban kétfajta tűzfalat különböztethetünk meg, az egyik a hardver alapú, a másik a szoftver alapú tűzfal.

A hardver alapú tűzfal fizikailag az Internet kapcsolat és a védendő hálózat között helyezkedik el. Sok DSL router már rendelkezik az alapvető tűzfal funkcióval. A hardver tűzfal a belső védendő hálózatot logikailag leválasztja a külső hálózatról (Internetről).

A szoftver tűzfal a pillanatnyilag használt operációs rendszerbe integrálódik, de nem mindig rendelkezik egy külön tűzfal szoftver átfogó működési körével. A tűzfal szoftvert közvetlenül a védendő PC-re telepítik és a védendő rendszerbe érkező és kimenő forgalmat ellenőrzi. Ezt a típust "Desktop tűzfalnak" nevezzük.

A speciális szabályokkal a tűzfal meghatározza, hogy melyik hálózati csomagot engedi át, és melyiket kell blokkolni. A megbízható és elvetendő csomagok közötti különbséget a különböző feltételek szerint kell meghatározni. Ebben egyrészt az IP-címek és a kapuszámok játszanak szerepet, másrészt viszont az az alkalmazás fontos, amelyik a helyi rendszeren egy kapcsolatot iniciál, az a lényeges, hogy a kapcsolat engedélyezett-e, vagy sem.

Ha egy olyan kapcsolat épül fel, amit nem a szabályozómű hozott létre, akkor a tűzfal előzetes beállítása alapján egy interaktív lekérdezési párbeszédet indít, hogy ez alapján egy új szabályt hozhasson létre. Ez a jövőben automatikusan engedélyezi a kapcsolatot, vagy pedig rákérdezés nélkül automatikusan blokkolja azt és bontja a kapcsolatot. Ez mindig attól függ, hogy milyen "éles" a tűzfal konfiguráció.

A megismételt jóváhagyási párbeszéd különösen tapasztalatlan alkalmazók esetében, és a kezdeti szakaszban nagy kihívást jelentenek, éppen ebből kiindulva a G Data biztonsági termékeiben lévő tűzfal program egy ún. Autopilot üzemmódot is lehetővé tesz. Ha ezt bekapcsolja, akkor elmarad a rákérdezés. A tűzfal a víruskeresővel együttműködve eldönti, hogy egy hálózati kapcsolat alkalmazás felépül-e, ekkor először a víruskereső fogja ellenőrizni azt a folyamatot, ami alapján a kapcsolatot szeretné felépíteni. Az online-játékosoknak is hasznos az autopilot funkció, mert a játékszoftver kapcsolata a gaming-szerverrel úgy jöhet létre, hogy a játékosnak nem kell kilépni a játék teljes képernyős üzemmódjából azért, hogy a tűzfal párbeszédet elvégezhesse. Ezzel együtt azonban csak a legitim kapcsolatokat engedélyezi a program, a támadónak, aki kívülről szeretne behatolni a gépbe, azonban kívül kell maradni.