Los firewalls por HW son unas cajitas (como un switch/hub mediano). Sí usan un sistema operativo, pero poco que ver con los que acostumbramos utilizar.

Todo lo que pase por ellos (por lo regular en la salida/entrada a Internet) es analizado deacuerdo a reglas configurables (puertos, dominios, etc.)

La ventaja adicional es que el filtrado se hace en capa 2 (no estoy seguro, ya ni recuerdo las capas OSI) y el firewall por software creo que lo hace en capa 5.

Otra ventaja de ellos es que no requieres de una computadora que haga las veces de firewall, y al estar fuera del alcance de los clientes, hay poco que ellos puedan hacer para "saltarlo."