Un firewall è una macchina dotata di più interfaccie di rete connesse a diversi rami di differenti reti. Ogni interfaccia permette al firewall di comunicare con la zona a cui è connessa l'interfaccia. La zona può essere costituita da una o più sottoreti o addirittura da tutta la rete Internet.
Con le sue N interfacce il firewall può comunicare con N zone. Se un host di una zona vuole comunicare con un host di un'altra zona sarà costretto ad attraversare il firewall. Se esiste un percorso alternativo significa che abbiamo sbagliato a costruire la nostra rete poichè il firewall risulta inefficace.
Detto questo, nel firewall possiamo inpostare una serie di regole per determinare quali pacchetti debbano passare da una zona all'altra e queste regole possono tener conto di una serie di caratteristiche del pacchetto da filtrare: zona/sottorete/host di provenienza, zona/sottorete/host di destinazione, tipo di protocollo (tcp/udp/icmp), porta di destinazione e provenienza, ecc.
Con Turtle Firewall è possibile definire gli elementi che possono essere origine o destinazione di una connessione, assegnargli un nome e in seguito usare il nome per definire le regole del firewall.
Per visualizzare l'elenco degli elementi del firewall si deve cliccare sull'icona Elementi del menù principale del modulo Turtle Firewall di Webmin. Divisi in quattro tabella si possono vedere gli elementi di tipo ZONA (zone), RETE (net), HOST e GRUPPO (group).