Il sistema Firewall di CBS Ip-Guard offre una protezione dalle intrusioni provenienti dall'esterno (rete internet) ed è anche in grado di filtrare i pacchetti in uscita dalla rete LAN. Il sistema nella sua installazione di default offre già una configurazione sicura, infatti tutti i pacchetti provenienti dall'esterno sono bloccati. Tramite l'interfaccia di gestione è possibile aprire della specifiche porte per determinate sorgenti, oppure effettuare un Port Forwarding per accedere a dei contenuti all'interno della rete LAN (es. web o mail server) presenti nella DMZ. Il firewall sui pacchetti in uscita può limitare l'accesso dei PC a certe risorse internet (siti web, sistemi di messaggistica, servizi come SSH, FTP, SMTP etc) non fidate.

CBS Ip-Guard suddivide la rete in ben 4 tronconi distrinti. Ognuno di questi segmenti è pensato per ospitare una determinata tipologia di PC client o Server e può comunicare con gli altri segmenti solo se le policy di sicurezza lo permettano.

Segmento Rosso: è la parte connessa verso Internet (tramite un modem o un router dedicato), quella ritenuta più a rischio e sulla quale si concentrano i maggiori controlli e restrizioni.

Segmento Verde: è la parte della LAN dove operano i PC client, è la parte di rete ritenuta affidabile.

Segmento Arancio: è la DMZ, dove devono essere posizionati i server che offrono servizi verso l'esterno. In caso di compromissione di un server all'interno di questa rete gli attaccanti troveranno maggiori difficoltà a raggiungere altre porzioni della rete LAN o Wireless.

Segmento Blu: è quello riservato alla Wireless Lan (Wi-Fi) o ad una seconda rete interna con maggiori restrizioni. Qui gli utenti per poter navigare o accedere ad altre reti devono essere esplicitamente autorizzati dall'amministratore. La restrizione avviene in base all'indirizzo Ip ed al MAC address del dispositivo.

Ognuno di questi segmenti ha una sua porta Ethernet dedicata sul Firewall, così da suddividere fisicamente le varie reti. Per un attaccante che riuscisse ad entrare in una porzione di rete, sarebbe molto più difficile accedere alla rete adiacente.