Le filtrage des paquets joue un rôle important au niveau des fonctions des différents pare-feu matériels correspondants. Ainsi, le pare-feu décide sur la base de la configuration manuelle des règles, quels sont les paquets de données qui sont transmis et lesquels ne le sont pas. Pour cela, le pare-feu opère sur les couches 3 et 4 du modèle OSI, c’est à dire la couche Réseau et la couche Transport, et vérifie la localisation des paquets dans l’en-tête du protocole correspondant. Ici par exemple il est possible que les adresses IP exactes ou les ports soient bloqués ou alors autorisés par les règles.
Avec l’aide d’un pont mentionné plus haut ou d’un commutateur, qui est une sorte d’extension d’un pont, le filtrage des paquets de données peut être réalisé sur la couche Liaison (couche 2 du modèle OSI). Là, le filtrage des paquets n’est pas réalisé sur la base des adresses IP, mais sur la base des adresses MAC, utilisées pour l’adressage matériel.
De plus, par extension, les pare-feu peuvent filtrer avec des méthodes de vérification orientées sur l’état (SPI, Stateful Packet Inspection, en français pare-feu à états). Pour cela, le filtrage des paquets qui est normalement limité aux couches 3 et 4 incorpore également la couche Application (couche 7). Mais contrairement au pare-feu proxy qui a aussi accès à cette couche, le pare feu à états (SPI) ne permet pas de modifier les données.