Modelos host vs red
Otra de las categorías de los cortafuegos depende si el producto está diseñado para ejecutarse en un único equipo al que protege, o si en cambio lo es para ejecutarse delante de un grupo de equipos y proteger la red entera(o una subred). Aquí se determina si el modelo de cortafuegos está diseñado para Host o para Red.
Modelo Host
El lema de mercado y publicidad más común para aquéllos cortafuegos basados en Host es 'Cortafuegos personal'. Un cortafuegos personal se instala en un equipo con la intención de protegerlo frente a intrusiones de red comunes. Generalmente son baratos, incluso hay varios gratuitos y libres. Tanto Windows XP como Windows Server 2003 incluyen un cortafuegos de este estilo, ICF(Internet Connection Firewall).
Un cortafuegos personal bloquea los paquetes entrantes basándose en su procedencia o destino (IP) y puerto que utiliza, usando para ello reglas preconfiguradas que tienen en cuenta las aplicaciones instaladas y los componentes del sistema operativo. Algunas versiones más sofisticadas también filtran paquetes según su contenido.
Cualquier equipo que conecte directamente a Internet sin pasar por un cortafuegos de red, debería tener uno de estos cortafuegos personales instalado. Incluyendo a todos los equipos que se conectan mediante moden analógico o de banda ancha en los casos en que el dispositivo modem o enrutador no disponga de cortafuegos activo.
Muchas directivas de empresa requieren que cualquier equipo que conecte con su red mediante conexión telefónica, o VPN, tengan cortafuegos personal instalado y habilitado. Esto es para prevenir en lo posible intrusiones desde los clientes remotos hacia sus redes. Y suelen ser los cortafuegos basados en red los que obligan al cumplimientos de estas directivas y requerimientos.