Aus diesem Grund kommen hierfür Router in Frage, wobei es natürlich auch möglich ist, einen Host als Paket-Filter zu verwenden. Ein Paket-Filter verfügt üblicherweise über zwei oder mehr Interfaces, was eine Konfiguration ermöglicht, bei der kein Paket vom externen in das interne Netz bzw. umgekehrt gelangen kann, ohne den Paket-Filter zu passieren (Siehe Abbildung ).
Die allgemeine Arbeitsweise eines Paket-Filters besteht darin, jedes eintreffende Paket in Hinblick auf seine Quell- und Zieladresse sowie auf Quell- und Zielport und Transportprotokoll zu untersuchen. Diese Informationen werden mit einer Reihe von Regeln verglichen, die eine Entscheidung ermöglichen, ob das Paket der Sicherheitspolitik des Unternehmens entspricht oder nicht. Sollte dies der Fall sein, so wird das Paket weitergeleitet, andernfalls verworfen. Es wird kein Kontext über die Verbindung aufrechterhalten, weshalb die Entscheidung über den Transport eines Paketes nur aufgrund der Header-Informationen des jeweiligen Paketes erfolgen kann.