Эти брандмауэры обычно принимают решения на основе адресов отправителя, места назначения и номеров портов в отдельных IP-пакетах. Простой маршрутизатор — вот «традиционный» брандмауэр сетевого уровня, поскольку он не может делать особо сложных выводов о том, какой службе фактически предназначен пакет или откуда он в действительности пришел. Современные брандмауэры сетевого уровня стали существенно сложнее и поддерживают внутреннюю информацию о состоянии проходящих через них подключений, содержимом некоторых из потоков данных и т.п. Одно из важных отличий многих брандмауэров сетевого уровня состоит в том, что они передают информацию непосредственно через себя, поэтому для их использования необходимо иметь официально выделенный пул IP-адресов или использовать пул «приватных» Internet-адресов. Брандмауэры сетевого уровня обычно работают очень быстро и весьма прозрачно для пользователей.

Рисунок 1. Брандмауэр сетевого уровня, который называется «брандмауэр с экранированным хостом» («screened host firewall»).

При такой схеме доступ к единственному хосту и с него управляется с помощью маршрутизатора, работающего на сетевом уровне. Единственный хост является бастионным — хорошо защищенным и безопасным укреплением, способным (предположительно) устоять при атаке.



 Пример брандмауэра сетевого уровня: на рис. 2 представлен брандмауэр сетевого уровня, который называется «брандмауэр с экранированной подсетью» («screened subnet firewall»). В этом случае доступ к целой сети и из нее управляется с помощью маршрутизатора, работающего на сетевом уровне. Такая схема аналогична экранированному хосту, но, фактически, представляет собой сеть из экранированных хостов.