Los paquetes TCP/IP que están siendo enviados fuera de la red interna son examinados vía un router, firewall, o dispositivo de borde similar.
A los paquetes que no cumplen las políticas de seguridad no se les permite salir - se les deniega la "salida".
[1] El filtrado de salida ayuda a asegurar que el tráfico malicioso o no autorizado nunca deja la red interna.
[2][3][4][5] Las restricciones pueden ir más allá, al punto que sólo ciertos protocolos como HTTP, correo electrónico, y DNS sean permitidos.
El filtrado de salida puede requerir cambios de políticas y trabajo administrativo cada vez que una nueva aplicación requiera acceso a la red externa.