En brandvägg av klass 3 är en kombination av att man med routrars hjälp begränsar vilka paket som släpps in till eller ut från ett system inom myndigheten. När man för ett visst protokoll släpper fram trafik till ett internt system exponeras detta oftast mot hela det publika Internet. Om protokollfiltreringen fungerar på avsett sätt har man således flyttat säkerhetsproblemet till det datorsystem man valt att exponera.
Önskar man t.ex. att alla arbetsplatser inom myndigheten ska kunna köra hypertextapplikationer typ WWW, krävs att man öppnar för trafik med HTTP, Gopher, FTP, Wais och Archie.