Un firewall de hardware es un dispositivo físico que conecta una computadora o red a Internet, empleando ciertas técnicas avanzadas para protegerlo del acceso no autorizado. Los enrutadores con cable, las puertas de enlace de banda ancha y los enrutadores inalámbricos incorporan firewalls de hardware que protegen cada computadora en una red. Los firewalls de hardware se pueden distinguir por las técnicas que utilizan para proteger una red de computadoras, y los diferentes tipos son filtrado de paquetes, inspección de paquetes con estado, traducción de direcciones de red y puertas de enlace a nivel de aplicación.

El firewall de filtrado de paquetes examina todos los paquetes de datos que viajan hacia y desde el sistema. Reenvía los datos en función de un conjunto de reglas definidas por el administrador de la red. Este firewall de hardware examina el encabezado del paquete y filtra los paquetes en función de la dirección de origen, el destino y la información del puerto. Si el paquete no cumple con las reglas, o si cumple con los criterios bloqueados, no se le permite pasar a la computadora o la red.

El firewall de inspección con estado va más allá del filtrado de paquetes para rastrear información sobre el estado de las conexiones de red para determinar qué paquetes de datos pueden pasar. También se conoce como filtrado dinámico de paquetes o inspección de paquetes con estado (SPI). Este firewall de hardware monitorea de dónde proviene el paquete para averiguar qué hacer con él. Examina si los datos se enviaron en respuesta a una solicitud de más información o si simplemente aparecieron. Los paquetes que no coinciden con un estado de conexión conocido son rechazados

Un firewall de traducción de direcciones de red (NAT) oculta una computadora o red de computadoras del mundo exterior al presentar una dirección de protocolo de Internet (IP) pública a Internet. La dirección IP del firewall es la única dirección válida en este escenario, y esta es la única dirección IP presentada para todas las computadoras que existen en la red. A cada computadora en el interior de la red se le asigna una dirección IP que es válida solo dentro de la red privada. Este firewall de hardware es muy eficaz porque solo presenta una dirección IP pública en Internet para cualquier número de usuarios en una red.

Cuando una computadora dentro de la red protegida por un firewall NAT realiza una solicitud de información, el firewall observa la solicitud, anota el número de IP interno, envía la solicitud utilizando su propia dirección IP y envía la información recibida a la computadora específica dentro de la red. Una puerta de enlace de nivel de aplicación hace que una computadora detrás de ella sea invisible para Internet actuando como un proxy y llevando a cabo todas las transferencias de datos en nombre de la computadora. Regula el tráfico muy de cerca, permitiendo que solo pasen algunos comandos, limitando el acceso a los archivos y haciendo sonar las alarmas en condiciones específicas. Este firewall de hardware generalmente se implementa en una computadora separada en una red que tiene la única función de actuar como un proxy. Es bastante sofisticado y se considera uno de los tipos de firewall de hardware más seguros.