Firewall lọc gói tin thực hiện kiểm tra mỗi gói tin IP để xem nó có phù hợp với một trong các quy tắc đã được thiết lập trước, quyết định có cho phép
gói tin đó đi qua firewall hay không. Các quy tắc này nhận biết liên lạc được phép dựa vào thông tin chứa trong các tiêu đề lớp mạng, lớp giao vận của gói tin và hướng được ghi trong phần tiêu đề của gói tin (từ trong mạng ra ngoài và ngược lại).
Các bộ lọc gói thường cho phép thao tác (chấp nhận hoặc từ chối) việc truyền dữ liệu dựa trên các điều khiển sau :
• Giao tiếp vật lý mà gói tin đến từ đó.
• Địa chỉ IP nguồn của gói tin
• Địa chỉ IP đích của gói tin
• Kiểu giao thức tầng vận chuyển (TCP, UDP, ICMP).
• Cổng nguồn của tầng vận chuyển.
• Cổng đích của tầng vận chuyển.
Kỹ thuật lọc gói thường không hiểu các giao thức của tầng ứng dụng được sử dụng trong các gói tin. Thay vào đó, chúng làm việc bằng cách áp dụng một tập các quy tắc được duy trì đối với thông tin về TCP/IP. Vì loại firewall này không kiểm tra dữ liệu tầng ứng dụng của gói tin và không theo dõi trạng thái kết nối nên giải pháp này là kém an toàn nhất trong các công nghệ firewall. Nó cho phép truy cập thông qua firewall với số lượng kiểm tra rất nhỏ. Tất nhiên, vì nó xử lý ít hơn so với kỹ thuật firewall khác nên nó là công nghệ firewall nhanh nhất hiện có và thường được thực hiện trong các giải pháp phần cứng, chẳng hạn như các bộ định tuyến IP.
Các firewall lọc gói thường thay địa chỉ cho các gói tin để luồng thông tin đi ra có địa chỉ nguồn khác với địa chỉ của máy trạm nội bộ. Quá trình ghi địa chỉ mới cho các gói tin được gọi là chuyển dịch địa chỉ mạng (Nework Address Translation - NAT). Sự chuyển dịch này sẽ che giấu các địa chỉ bên trong mạng cần bảo vệ