El filtrado de paquetes juega un papel fundamental dentro de la operación de cada uno de los cortafuegos de hardware. Para ello, el firewall se configura manualmente de acuerdo a unas normas para saber qué paquetes debe dejar pasar y cuáles no. El filtrado tiene lugar en las capas OSI 3 y 4, es decir, la capa de red y la capa de transporte, donde comprueba las propiedades de los paquetes al tomar el encabezado de cada protocolo. Dependiendo de las normas, las direcciones IP o los puertos exactos, por ejemplo, serán permitidos o bloqueados.
Con el modelo de puente anteriormente mencionado o con un conmutador, que representa una extensión del primero, el filtrado de paquetes se puede realizar en la capa de enlace de datos, es decir, la segunda capa del modelo OSI. Con este, el filtrado de paquetes no se basa en direcciones IP, sino en direcciones MAC, que se utilizan para el direccionamiento del hardware.
Por extensión, los cortafuegos también pueden realizar filtrado de paquetes con métodos de verificación basados en seguimiento de estado (Stateful Packet Inspection, SPI). Para ello, el proceso de filtrado tiene lugar en la capa 3 y 4, así como en la capa de aplicación (capa 7), incluyendo los datos intercambiados. A diferencia de los proxy firewall, que también tienen acceso a la séptima capa de aplicación, la técnica SPI no permite modificar estos datos.