Při komunikaci v síti Internet se používají protokoly sady TCP/IP. Tyto protokoly jsou převážně používány i pro komunikaci v lokálních sítích. Základním (nosným) protokokolem je IP (Internet Protocol), jehož pakety nesou veškeré další informace (zapouzdřují v sobě ostatní protokoly). Kerio Personal Firewall má úplnou kontrolu nad všemi IP pakety — tzn. je schopen je zachytit, zjistit z nich potřebné informace a poté je propustit nebo filtrovat. Samozřejmostí je také vytváření záznamů o prováděných akcích, detekovaných útocích apod.

Základním principem činnosti Kerio Personal Firewallu je tzv. stavová inspekce. Probíhá-li komunikace protokolem TCP, pak je o každém povoleném spojení vytvořen záznam, a firewall propustí pouze pakety patřící do tohoto spojení.

Kerio Personal Firewall pracuje v tzv. samoučícím režimu. Při zachycení dosud neznámé síťové komunikace se zobrazí dialogové okno, ve kterém může uživatel příslušnou komunikaci povolit či zakázat, a to jednorázově nebo trvale. Pro trvale povolenou či zakázanou komunikaci se automaticky vytvoří odpovídající pravidlo a při příštím zachycení této komunikace se již Kerio Personal Firewall uživatele nedotazuje. Detaily naleznete v kapitolách Dialog Upozornění na spojení (zachycení neznámé komunikace) a Rozšířený paketový filtr.

Filtrovacími pravidly může uživatel (resp. administrátor) specifikovat další podmínky pro filtrování komunikace. Vždy jsou ale propuštěny jen takové pakety, které vyhovují definovaným kritériím.

Obdobným způsobem Kerio Personal Firewall postupuje také při kontrole spouštěných aplikací (podrobnosti viz kapitola Pravidla pro aplikace).