由于防火墙本质上是过滤数据，因此答案取决于您执行的过滤类型。

如果您根据 IP 地址进行过滤（例如），您可以说您的防火墙在第 3 层过滤。如果您过滤特定端口，您可以说您在第 4 层过滤。如果您的防火墙检查特定协议状态或数据，你可以说它在第 7 层运行。

事实是，大多数防火墙都结合使用了所有这些功能。因此，实际上，您的问题确实没有有用的答案。

我建议您也阅读有关 OSI 模型的这个问题。

除非您的防火墙使用 OSI 模型，否则用这些术语谈论它没有什么价值。您应该记住 TCP/IP 模型只有五层。

话虽如此，这在很大程度上取决于您的防火墙是否能够进行深度包检测。如果是，则它在 L3/L4 和应用层运行。否则，它只会在 IP 和传输层进行过滤。

另一方面，它在除应用层之外的所有层“运行”。它必须具有物理连接，提供数据链路/网络连接并在 IP 层和传输层强制执行 NAT 策略和防火墙规则。如果没有，它就不是一个正常运行的防火墙。

这取决于什么样的防火墙。共有三种基本类型：第 1 代数据包过滤器在第 3 层运行，第 2 代状态过滤器在第 5 层运行，以及第 3 代应用防火墙（也称为 NGFW：下一代防火墙）。