网桥使用帧，网桥是第 2 层设备，它不使用数据包。数据包由第 3 层设备（通常是路由器）使用。

一些供应商产品可能会（关于转发流量）作为桥接器运行，但仍具有基于更高层信息检查和丢弃流量的能力。例如，思科自适应安全设备可以在桥接模式或路由模式下运行，但仍会根据第 4 层（或有时更高）信息检查和丢弃流量。一些 Cisco 交换机还可以通过 IP 地址或第 2 层交换机端口上的 TCP/UDP 端口过滤流量。

理论上，路由器应该只能根据第 3 层信息进行过滤，但最近的每个“企业”路由器都支持无状态访问列表，能够过滤 IP 协议和 tcp/udp 端口​​。

主要区别在于过滤设备在网络中的（当前）角色。

它可以是路由器，然后是网络层设备，也可以是网桥，然后是链路层设备。要点是要控制/过滤的所有流量都必须通过该设备。

从技术上讲，防火墙和安全功能需要检查网络 (L3)、传输 (L4) 和应用层 (L7) - 越多越好。当然，您可以按任何层进行过滤，无论是交换（“透明”、“在线”）还是路由防火墙。它仅取决于该防火墙的功能。许多防火墙可以使用任何一种模式，有时该模式会限制功能集。

如果您的问题旨在过滤交换机（L2 或 L3）：这些 ACL 通常仅使用 L3 和 L4 信息。例如，这些可以限制对外部服务器的 DNS 查询或拒绝向未知服务器发送 SMTP，但它们不能按 URL 或 HTTP 主机名过滤，或识别恶意软件。