Windows включает очень простую IP-фильтрацию, которую пользователь может выбрать для того, чтобы разрешить служить входами и выходами сети только определенным портам или IP-протоколам. Хотя этой возможностью можно воспользоваться для защиты компьютера от несанкционированного доступ к сети, ее недостатком является статичность и невозможность автоматического создания новых фильтров для трафика, инициированного приложениями, запущенными на компьютерах.
Windows также включает возможность установки межсетевой защиты на главном компьютере, которая называется брандмауэром Windows и выходит за рамки только что рассмотренной базовой фильтрации. Чтобы обеспечить динамическую межсетевую защиту, которая отслеживает транспортный поток с целью отличить TCP/IP-трафик, исходящий от локальной сети, и незатребованный трафик, исходящий от Интернета, брандмауэр Windows использует WFP. Когда в интерфейсе включен брандмауэр Windows, можно применить один из трех профилей — общий (public), частный (private) и профиль домена (domain). По умолчанию, когда выбран общий профиль (или пока профиль не выбран), весь предоставленный без запроса входящий трафик, получаемый компьютером, игнорируется. Пользователь или приложение может определить исключения, чтобы службы, запущенные на компьютере, например общий файл, или принтер, или веб-сайт, могли быть доступны из других компьютеров.
Служба Брандмауэр Windows, выполняемая в процессе Svchost, использует BFE для передачи правил исключений, определенных в пользовательском интерфейсе настройки, драйверу IPNat. Механизм фильтрации WFP выполняет функции обратного вызова каждого зарегистрированного драйвера внешнего вызова по мере его обработки как входящих, так и исходящих IP-пакетов. Функция обратного вызова может предоставлять функциональные возможности NAT путем изменения в пакете адресов отправителя и получателя или в качестве брандмауэра за счет возвращения TCP/IP кода состояния, который требует, чтобы TCP/IP сбросил пакет и прекратил его обработку. В режиме ядра брандмауэр Windows использует драйвер защитной службы Microsoft Protection Service (%SystemRoot%\System32\Drivers\Mpsdrv.sys), который предоставляет поддержку для PPTP- и FTP-фильтрации, поскольку эти протоколы предоставляют свои собственные независимые каналы управления и данных. Драйвер должен анализировать канал управления, чтобы определить, каким каналом данных нужно манипулировать. Драйвер также используется для отображения окон уведомлений, когда приложение начинает прослушивать сокет.