Paketfilter (engl. packet filter), der

Das aktive Firewall-Element Packet Filter analysiert und kontrolliert die ein- und ausgehenden Pakete auf der Netzzugangs-, der Netzwerk- und der Transportebene. Dazu werden die Pakete, nicht nur TCP/IP-Protokolle, aufgenommen und analysiert.

Die beiden Netze werden bei einer solchen Implementierung physikalisch entkoppelt. Ein Paket-Filter verhält sich wie eine normale Bridge und werden transparent in eine Leitung eingefügt.

Nach der Analyse des Pakets wird verifiziert, ob sie unter eine bestimmte Regel fallen, und dementsprechende Reaktionen ausgeführt. In den Regeln (engl. ACL) wird vorzugsweise definiert, dass nur die notwendigste Kommunikation erlaubt ist; alle Verstösse werden abgewiesen (engl. deny) oder verworfen (engl. drop).