Díky technologii NAT (Network Address Translation — překlad IP adres) je možné připojit lokální privátní síť do Internetu přes jedinou veřejnou IP adresu (statickou i dynamickou). Narozdíl od klasického proxy serveru budou mít všechny počítače plný přístup do Internetu a bude na nich možné provozovat většinu běžných síťových aplikací, jako by se jednalo o veřejnou síť, která je součástí Internetu.

Integrovaný firewall ochrání celou lokální síť včetně počítače, na němž je nainstalován. Nezáleží na tom, zda je použita funkce NAT (překlad IP adres) nebo zda je WinRoute nasazen jako „neutrální“ směrovač mezi dvěma sítěmi. WinRoute poskytuje ochranu srovnatelnou s mnohonásobně dražšími hardwarovými firewally.

Veškerá bezpečnostní nastavení jsou ve WinRoute realizována prostřednictvím tzv. komunikačních pravidel. Ta umožňují nejen ochránit síť proti průniku zvenčí, ale také zpřístupnit služby provozované na serverech uvnitř chráněné lokální sítě (např. WWW server, poštovní server, FTP server atd.) z Internetu nebo naopak omezit přístup lokálních uživatelů k určitým službám v Internetu.

Typickým problémem sdíleného internetového připojení je situace, kdy jeden uživatel stahuje velký objem dat (instalační archiv, obraz disku, audio/video soubor apod.), čímž výrazně zpomalí přístup do Internetu ostatním uživatelům i serverovým službám. Modul Bandwidth Limiter ve WinRoute umožňuje vyhradit pro přenosy objemných dat zvolenou šířku pásma (tj. určitou část rychlosti internetového připojení), zatímco zbývající pásmo bude stále k dispozici pro ostatní služby.

Některé aplikace komunikují netriviálním způsobem — např. vyžadují otevření dalšího spojení serverem zpět na klienta, používají nestandardní komunikační protokoly apod. Aby bylo možné za firewallem provozovat i takovéto aplikace, obsahuje WinRoute tzv. inspekční moduly, které rozpoznají příslušný aplikační protokol a dokáží dynamicky přizpůsobit chování firewallu (např. dočasné otevření spojení, které si aplikace vyžádala). Jako příklad uveďme FTP v aktivním režimu, RealAudio nebo PPTP.

WinRoute obsahuje vestavěný DHCP server, který automaticky nastaví parametry TCP/IP na všech počítačích (pracovních stanicích) ve vaší lokální síti. Veškeré parametry stačí nastavit centrálně na serveru. Tím se jednak ušetří čas potřebný ke zprovoznění sítě a jednak sníží riziko možných chyb.

Ke snadné konfiguraci DNS a zrychlení odpovědí na DNS dotazy slouží modul DNS forwarder. Jedná se o jednoduchý DNS server (caching nameserver), který předává dotazy jinému DNS serveru. Získané odpovědi ukládá do své vyrovnávací paměti (cache) — odezvy na opakované dotazy jsou tak mnohonásobně rychlejší. Ve spolupráci s DHCP serverem a systémovým souborem hosts může zároveň fungovat jako dynamický DNS server pro lokální doménu.

Veškerá nastavení WinRoute se provádějí v odděleném programu Kerio Administration Console (univerzální administrační konzola pro serverové produkty firmy Kerio Technologies). Tento program může být provozován jak přímo na počítači, kde je WinRoute nainstalován, tak na libovolném jiném počítači ve vaší lokální síti či v Internetu. Komunikace mezi WinRoute a administračním programem je šifrována a nemůže tedy dojít k jejímu odposlechu a zneužití.

WinRoute pracuje s protokoly standardu TCP/IP a z pohledu počítačů v lokální síti se chová jako standardní směrovač. Na tyto počítače není třeba instalovat žádný speciální software, a může zde být provozován libovolný operační systém podporující TCP/IP (např. Windows, Unix/Linux, Mac OS atd.).

WinRoute umožňuje sledovat obsah komunikace protokoly HTTP a FTP a blokovat objekty (stránky, přesměrování, některé prvky HTML atd.), které nevyhovují zadaným kritériím. Tato nastavení mohou být globální nebo specifická pro konkrétní uživatele.

WinRoute může provádět antivirovou kontrolu přenášených souborů, a to buď vestavěným antivirem McAfee nebo externím antivirovým programem (např. NOD32, AVG atd.). Antivirovou kontrolu lze aplikovat na protokoly HTTP, FTP, SMTP a POP3.

Při nasazení v síti s doménou Active Directory lze ve WinRoute použít přímo uživatelské účty z Active Directory, není nutné vytvářet lokální účty ani importovat účty z domény. Tato možnost značně zjednodušuje správu účtů zejména při velkém počtu uživatelů.

WinRoute může zasílat e-mailem výstrahy na určité události. Tato funkce zjednodušuje správu firewallu — administrátor se nemusí k WinRoute pravidelně přihlašovat a kontrolovat jeho stav. Všechny odeslané výstrahy se zároveň ukládají do speciálního záznamu.

Každému uživateli lze nastavit denní a měsíční limit objemu přenesených dat, a to pro download, upload nebo oba směry. Při překročení některé kvóty bude uživateli na určitou dobu zablokován přístup do Internetu. Volitelně lze uživateli také zaslat e-mail s výstrahou.

WinRoute dokáže detekovat a blokovat používání tzv. Peer-to-Peer sítí (sítě pro sdílení souborů mezi uživateli — např. Kazaa, DirectConnect apod.).

Ve WinRoute lze sledovat podrobné statistiky rozhraní firewallu (aktuální přenosové rychlosti, objem přenesených dat za určitá období) a jednotlivých uživatelů (objem přenesených dat, využívání služeb, navštívené WWW stránky a jejich kategorie atd.).

Základní statistiky jsou k dispozici přímo v administračním programu, podrobné statistiky pak ve webovém rozhraní firewallu.

WinRoute obsahuje proprietární VPN řešení, které funguje v režimech server-to-server a client-to-server. Toto VPN řešení je navrženo tak, aby fungovalo s překladem IP adres (i vícenásobným) na kterékoliv straně. Pro vytváření VPN typu client-to-server (připojování vzdálených klientů do lokální sítě) je společně s WinRoute dodáván také klientský software — Kerio VPN Client.

Alternativou k VPN řešení vyžadujícímu speciální aplikaci na klientské straně je přístup do vzdálené privátní sítě prostřednictvím běžného WWW prohlížeče. Clientless SSL-VPN umožňuje procházet počítače a sdílené prostředky ve vzdálené síti a stahovat nebo ukládat soubory. Komunikace je zabezpečena standardním protokolem SSL (HTTPS).