SURFfirewall is een firewall-as-a-service dienst. Met de huidige (unmanaged) dienst biedt SURF de mogelijkheid om de functionaliteiten van de SURF-netwerkinfra-verbinding te beveiligen met een moderne next-generation firewall. De dienst wordt geleverd met volledig gelicenseerde Unified Threat Management (UTM) functionaliteit van een FortiGate-firewall van Fortinet.
De SURFfirewall dienst kan fungeren als een externe (perimeter) firewall, maar ook als een "Campus-light variant," waarbij het mogelijk is om interne (of campus) netwerksegmenten aan de SURFfirewall te koppelen tot een maximum van vijf VLAN's.
SURF neemt de aanbestedingslast over en regelt de uitvoering: (hardware) inkoop, beheer, licenties en de integratie met de SURF-netwerkinfra-functionaliteiten, zodat internet- en private (EVPN en L3VPN) connectiviteit hiervan gebruik kunnen maken. De instelling is verantwoordelijk voor het beveiligingsbeleid, de firewallregels en de configuratie. Hiertoe stelt SURF een beheerportaal beschikbaar.