封包过滤是最早被用来作为网路防火墙的技术,是在OSI七层架构中第三层以下的网路中运作。封包过滤器的功能主要是检查过往的每一个IP资料封包,如果其表头中所含的资料内容符合事先设定的可信赖安全标准就放行通过,反之则阻档在门外。最简单、也最常见的的封包过滤器就是路由器(Router),它平日的主要工作是按址转送过往的资料封包,它们大多具有有某种内建的功能,可限制某些来源点或目的地的封包流通,并在路径转换表中设定谁可以通过,谁不能通过。不过,用来作为防火墙的路由器必须执行比一般路由器的过滤更复杂的分析工作,如检查提供服务要求的端口(port)来源,因此通常使用高阶路由器。而除了在路由器上采用之外,也有一些是以电脑主机为主的封包过滤式防火墙软件。采用此型态的防火墙时,需要先设定一些组态参数,如交通的流向、进出网路的资讯、交通的出发地址和目的地址的介面、起讫点的IP位址和TCP或UDP的端口位址、TCP的状态资料等等。