Existem várias maneiras em que firewalls podem falhar ou serem comprometidos. Desde que o proprósito de muitos firewalls é bloquear o acesso, uma falha nítida corresponde a presença de furos que permitem acessos não autorizados e sondagem de sistemas em redes privadas. Uma situação mais danosa seria se alguém penetrasse o firewall e o
reconfigurasse de tal maneira que toda a rede privada fosse
acessível por qualquer pessoa. No entanto, o pior desastre para um
firewall seria comprometê-lo completamente sem qualquer noção de
como se procedeu o ataque. Por outro lado, a situação ideal seria
detectar um ataque, e informar educadamente ao administrador que ele
está resistindo ao ataque, mas que aquele ataque irá falhar.

Toda rede apresenta zonas de risco que correspondem às partes
vulneráveis  do sistema. No caso de uma rede que está conectada
à Internet sem qualquer firewall, observa-se que toda ela está
sujeita a ataques. Isto não implica que a rede é vulnerável a
ataques, mas numa situação em que toda uma rede pode ser alcançada
por uma rede não confiável, é necessário garantir a segurança de
todos os hosts presentes na mesma. No caso de um firewall típico, a
zona de risco é normalmente reduzida ao próprio firewall, ou um
subconjunto selecionado dos hosts da rede, reduzindo significativamente
as preocupações dos gerenciadores de rede no que diz respeito a
ataques diretos. Se um firewall é violado, a zona de risco novamente se
expande, passando a incluir toda a rede protegida.

No geral, firewalls representam uma redução da zona de risco a
um único ponto de falha.