包过滤型防火墙一般有一个包检査模块, 可以根据数据包头中的各项信息来控制站点站点、 站点与网络、 网络与网络之间的相互访间, 但不能控制传输的数据内容, 因为内容应用层数据。
包检査模块应该深人到操作系统的核心, 在操作系统或路由器转发包之前拦截所有 能据包 。 当包过滤型防火墙安装在网关上之后, 包过滤检査模块深入到系统的网络层和数報路层之间, 即 TCP层和 IP层之间, 抢在操作系统或路由器的 TCP层对 IP包的所有处理2对IP包进行处理。因为数据链路层事实上就是网卡(NIC) ,网络层是第一层协议堆栈, 以包过滤型防火墙位于软件层次的最底层,
通过检査模块, 防火墙能拦截和检查所有进出的数据。 防火墙检査模块首先验证据包是否符合过滤规则,不管是否符合过滤规则,防火墙一般要记录数据包情况,不则的包要进行报警或通知管理员 。 对于丢弃的数据包, 防火墙可以给发送方一个消息,攻击者可能会根据拒接包的类型猜测包过滤规则的大概情况。