Tường lửa bộ định tuyến sàng lọc được gọi là tường lửa cấp mạng hoặc tường lửa lọc gói. Tường lửa như vậy hoạt động bằng cách sàng lọc các gói đến theo các thuộc tính giao thức. Các thuộc tính giao thức được sàng lọc có thể liên quan đến địa chỉ nguồn hoặc đích, loại giao thức, cổng nguồn hoặc cổng đích hoặc nhiều thuộc tính dành riêng cho giao thức.
Bộ định tuyến sàng lọc được thiết lập bằng cách sử dụng các quy tắc để lọc truy cập bằng các giao thức đã xác định hoặc đến và đi từ các địa chỉ được xác định trước, chuyển hoặc từ chối gói IP dựa trên dữ liệu có trong tiêu đề gói.
Bộ định tuyến sàng lọc là một phần thiết yếu của hầu hết các bức tường lửa. Bộ định tuyến sàng lọc có thể là bộ định tuyến thương mại hoặc bộ định tuyến dựa trên máy chủ với một số loại tiềm năng lọc gói. Các bộ định tuyến sàng lọc thông thường có khả năng chặn lưu lượng giữa các mạng hoặc các máy chủ nhất định, ở cấp độ cổng IP. Một số tường lửa chỉ bao gồm một bộ định tuyến sàng lọc giữa mạng riêng và Internet.
Một số mạng được tường lửa chỉ sử dụng một bộ định tuyến sàng lọc giữa mạng riêng và Internet. Loại tường lửa này rất đa dạng từ cổng máy chủ được sàng lọc, trong đó thường có giao tiếp trực tiếp được kích hoạt giữa nhiều máy chủ trên mạng riêng và nhiều máy chủ trên Internet.
Khu vực rủi ro tương tự với nhiều máy chủ trên mạng riêng và số lượng và loại dịch vụ mà bộ định tuyến sàng lọc cho phép lưu lượng truy cập. Đối với mỗi dịch vụ được hỗ trợ thông qua kết nối ngang hàng, kích thước của vùng rủi ro sẽ tăng lên rõ rệt.
Cuối cùng là không thể tiếp cận để định lượng. Việc kiểm soát thiệt hại cũng khó khăn vì ban quản lý mạng cần phải thường xuyên kiểm tra từng máy chủ để tìm dấu vết của sự đột nhập. Nếu không có cuộc kiểm tra thông thường nào, người ta có thể hy vọng sẽ bị lung lay trên một khóa.
Trong trường hợp tường lửa bị tàn phá hoàn toàn, việc theo dõi hoặc thậm chí phát hiện ra sẽ rất phức tạp. Nếu một bộ định tuyến thương mại (không duy trì bản ghi nhật ký) được sử dụng và mật khẩu quản trị của bộ định tuyến bị xâm phạm, thì toàn bộ mạng riêng có thể được mở khóa để tấn công rất đơn giản.
Các trường hợp được xác định trong đó các bộ định tuyến thương mại đã được thiết lập với các quy tắc sàng lọc sai hoặc đã xuất hiện trong một số chế độ chuyển tiếp do lỗi phần cứng hoặc nhà điều hành. Thông thường, cấu hình này là một trường hợp không bị cấm cụ thể được bật vì người dùng khéo léo có thể khá đơn giản chỉ cần thu thập các giao thức để đạt được cấp độ truy cập lớn hơn mức mà người quản lý mong đợi hoặc cần.
Bộ định tuyến sàng lọc không phải là giải pháp bảo mật nhất, nhưng chúng nổi tiếng vì chúng cho phép truy cập web khá miễn phí từ một số điểm trong mạng riêng. Một số nhà tư vấn và nhà cung cấp dịch vụ mạng quảng cáo sàng lọc các bộ định tuyến trong cấu hình "tường lửa".