Die wichtigste Rolle bei der jeweiligen Funktionsweise der verschiedenen Hardware-Firewall-Typen spielt die Paketfilterung. Hierbei entscheidet die Firewall auf Basis eines manuell konfigurierten Regelwerks, welche Datenpakete weitergeleitet werden sollen und welche nicht. Dabei arbeitet sie auf den OSI-Schichten 3 und 4, also der Vermittlungs- und der Transportschicht, wo sie die Pakete auf Eigenschaften überprüft, die sie dem jeweiligen Protokollheader entnimmt. Hier sind beispielsweise exakte IP-Adressen oder Ports möglich, die im Regelwerk entweder als erlaubt oder als gesperrt festgehalten sind.
Mithilfe der erwähnten Bridge oder auch mit einem Switch, der quasi eine Bridge-Erweiterung darstellt, kann die Paketfilterung zusätzlich auch auf der Sicherungsschicht, der zweiten Ebene des OSI-Modells durchgeführt werden. Dort findet die Filterung der Datenpakete nicht auf Basis der IP-Adressen statt, sondern auf Basis der MAC-Adressen, die zur Hardware-Adressierung verwendet werden.
Ferner können Firewalls nach Erweiterung auch mit zustandsorientierten Überprüfungsmethoden (Stateful Packet Inspection, SPI) filtern. Zu diesem Zweck werden in die für gewöhnlich auf Layer 3 und 4 beschränkte Paketfilterung noch die Anwendungsebene (Layer 7) und die dort festgehaltenen Nutzdaten miteinbezogen. Im Gegensatz zu einer Proxy-Firewall, die ebenfalls Zugriff auf diese Ebene hat, erlaubt die SPI-Technik allerdings nicht, diese Daten auch zu verändern.