Lọc khung (Frame Filtering): Hoạt động trong hai tầng của mơ hình OSI, có thể lọc,
kiểm tra được mức bit và nội dung của khung tin. Trong tầng này các khung dữ liệu không tin cậy sẽ bị từ chối ngay trước khi vào mạng.
Lọc gói (Packet Filtering): Kiểu Firewall chung nhất là kiểu dựa trên tầng mạng của
mơ hình OSI. Lọc gói cho phép hay từ chối gói tin mà nó nhận được. Nó kiểm tra tồn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các quy định của lọc Packet hay không. Các quy tắc lọc packet dựa vào các thông tin trong Packet header.
Nếu quy tắc lọc packet được thoả mãn thì gói tin được chuyển qua Firewall. Nếu không sẽ bị bỏ đi. Như vậy Firewall có thể ngăn cản các kết nối vào hệ thống hoặc khoá việc truy nhập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép.
Một số Firewall hoạt động ở tầng mạng thường cho phép tốc độ xử lý nhanh vì chỉ kiểm tra địa chỉ IP nguồn mà không thực hiện lệnh trên router, khơng xác định địa chỉ sai
hay bị cấm. Nó sử dụng địa chỉ IP nguồn làm chỉ thị, nếu một gói tin mang địa chỉ nguồn là địa chỉ giả thì nó sẽ chiếm được quyền truy nhập vào hệ thống. Tuy nhiên có nhiều biện pháp kỹ thuật có thể được áp dụng cho việc lọc gói tin nhằm khắc phục nhược điểm trên, ngoài trường địa chỉ IP được kiểm tra cịn có các thơng tin khác được kiểm tra với quy tắc được tạo ra trên Firewall, các thơng tin này có thể là thời gian truy nhập, giao thức sử dụng, cổng.
Firewall kiểu Packet Filtering có hai loại :
a. Packet filtering Firewall : Hoạt động tại tầng mạng của mơ hình OSI hay tầng IP trong mơ hình TCP/IP. Kiểu Firewall này khơng quản lý được các giao dịch trên mạng.
b. Circuit level gateway : Hoạt động tại tầng phiên của mơ hình OSI hay tầng TCP trong mơ hình TCP/IP. Là loại Firewall xử lý bảo mật giao dịch giữa hệ thống và người dùng cuối. (VD: kiêmt tra ID, mật khẩu) loại Firewall cho phép lưu vết trạng thái của người truy nhập.