De fysieke SURFfirewalls zijn opgebouwd per paar in een zogeheten actief / passief cluster. Dit betekent dat er in een cluster altijd één firewall actief is en de andere firewall passief. De configuraties van de virtuele domeinen – inclusief de netwerken en firewallregels – worden automatisch gesynchroniseerd tussen de actief en passieve firewall. Iedere firewall heeft tevens een redundante koppeling met het SURF netwerk. In het geval de actieve firewall faalt, zal de passieve firewall de actieve firewall worden waardoor het verkeer via deze firewall zal lopen.
Een instelling wordt op één of meerdere locaties gekoppeld aan het SURFinternet. De SURFfirewall wordt het nieuwe koppelpunt voor de instelling met het SURF netwerk in plaats van de SURF routers. De routering op de SURFfirewall zal gebeuren door middel van BGP of een statische route