包过滤防火墙（状态防火墙和包过滤防火墙的区别是什么啊）

本文目录

• 状态防火墙和包过滤防火墙的区别是什么啊
• 防火墙的分类与优缺点知识
• 包过滤防火墙的过滤原理是什么
• 包过滤防火墙对（ ）的数据报文进行检查
• 包过滤防火墙与代理型防火墙的区别
• 在华为的ensp1.3.00.100,防火墙有哪几种类型
• 常见的三种防火墙类型
• 防火墙的类型包括
• 包过滤防火墙技术的运作方式是什么
• 包过滤防火墙

状态防火墙和包过滤防火墙的区别是什么啊

1、含义上的区别

状态防火墙是一种能够提供状态封包检查或状态检视功能的防火墙。

包过滤防火墙是用一个软件查看所流经的数据包的包头，由此决定整个包的命运。

2、作用上的区别

状态防火墙能够持续追踪穿过这个防火墙的各种网络连接（例如TCP与UDP连接）的状态。这种防火墙被设计来区分不同连接种类下的合法数据包。只有匹配主动连接的数据包才能够被允许穿过防火墙，其他的数据包都会被拒绝。

包过滤防火墙除了决定是否有到达目标地址的路径外，还要决定是否应该发送数据包；能为用户提供了一种透明的服务，用户不需要改变客户端的任何应用程序，也不需要用户学习任何新的东西。因为过滤路由器工作在IP层和TCP层，而IP层和TCP层与应用层的问题毫不相关。

***隐藏网址***

3、工作原理上的区别

状态防火墙会跟踪网络连接的状态（例如TCP流或UDP通信），状态检查随着时间的推移监视传入和传出的数据包以及连接的状态，并将数据存储在动态状态表中。在建立连接时执行大部分CPU密集型检查，条目仅为满足定义的安全策略的TCP连接或UDP流创建。

数据包过滤用在内部主机和外部主机之间，过滤系统是一台路由器或是一台主机。过滤系统根据过滤规则来决定是否让数据包通过。用于过滤数据包的路由器被称为过滤路由器。数据包过滤是通过对数据包的IP头和TCP头或UDP头的检查来实现。

防火墙的分类与优缺点知识

　　 一、防火墙的基本分类

　　1.包过滤防火墙

　　第一代防火墙和最基本形式防火墙检查每一个通过的网路包，或者丢弃，或者放行，取决于所建立的一套规则。这称为包过滤防火墙。

　　本质上，包过滤防火墙是多址的，表明它有两个或两个以上网路介面卡或介面。例如，作为防火墙的装置可能有两块网络卡NIC，一块连到内部网路，一块连到公共的Internet。防火墙的任务，就是作为“通讯警察”，指引包和截住那些有危害的包。

　　包过滤防火墙检查每一个传入包，检视包中可用的基本资讯源地址和目的地址、埠号、协议等。然后，将这些资讯与设立的规则相比较。如果已经设立了阻断telnet连线，而包的目的埠是23的话，那么该包就会被丢弃。如果允许传入Web连线，而目的埠为80，则包就会被放行。

　　多个复杂规则的组合也是可行的。如果允许Web连线，但只针对特定的伺服器，目的埠和目的地址二者必须与规则相匹配，才可以让该包通过。

　　最后，可以确定当一个包到达时，如果对该包没有规则被定义，接下来将会发生什么事情了。通常，为了安全起见，与传入规则不匹配的包就被丢弃了。如果有理由让该包通过，就要建立规则来处理它。

　　建立包过滤防火墙规则的例子如下：

　　对来自专用网路的包，只允许来自内部地址的包通过，因为其他包包含不正确的包头部资讯。这条规则可以防止网路内部的任何人通过欺骗性的源地址发起攻击。而且，如果黑客对专用网路内部的机器具有了不知从何得来的访问权，这种过滤方式可以阻止黑客从网路内部发起攻击。

　　在公共网路，只允许目的地址为80埠的包通过。这条规则只允许传入的连线为Web连线。这条规则也允许与Web连线使用相同埠的连线，所以它并不是十分安全。

　　丢弃从公共网路传入的包，而这些包都有你的网路内的源地址，从而减少IP欺骗性的攻击。

　　丢弃包含源路由资讯的包，以减少源路由攻击。要记住，在源路由攻击中，传入的包包含路由资讯，它覆盖了包通过网路应采取得正常路由，可能会绕过已有的安全程式。通过忽略源路

2.状态/动态检测防火墙

　　状态/动态检测防火墙，试图跟踪通过防火墙的网路连线和包，这样防火墙就可以使用一组附加的标准，以确定是否允许和拒绝通讯。它是在使用了基本包过滤防火墙的通讯上应用一些技术来做到这点的。

　　当包过滤防火墙见到一个网路包，包是孤立存在的。它没有防火墙所关心的历史或未来。允许和拒绝包的决定完全取决于包自身所包含的资讯，如源地址、目的地址、埠号等。包中没有包含任何描述它在资讯流中的位置的资讯，则该包被认为是无状态的;它仅是存在而已。

　　一个有状态包检查防火墙跟踪的不仅是包中包含的资讯。为了跟踪包的状态，防火墙还记录有用的资讯以帮助识别包，例如已有的网路连线、资料的传出请求等。

　　例如，如果传入的包包含视讯资料流，而防火墙可能已经记录了有关资讯，是关于位于特定IP地址的应用程式最近向发出包的源地址请求视讯讯号的资讯。如果传入的包是要传给发出请求的相同系统，防火墙进行匹配，包就可以被允许通过。

　　一个状态/动态检测防火墙可截断所有传入的通讯，而允许所有传出的通讯。因为防火墙跟踪内部出去的请求，所有按要求传入的资料被允许通过，直到连线被关闭为止。只有未被请求的传入通讯被截断。

　　如果在防火墙内正执行一台伺服器，配置就会变得稍微复杂一些，但状态包检查是很有力和适应性的技术。例如，可以将防火墙配置成只允许从特定埠进入的通讯，只可传到特定伺服器。如果正在执行Web伺服器，防火墙只将80埠传入的通讯发到指定的Web伺服器。

　　状态/动态检测防火墙可提供的其他一些额外的服务有：

　　将某些型别的连线重定向到稽核服务中去。例如，到专用Web伺服器的连线，在Web伺服器连线被允许之前，可能被发到SecutID伺服器用一次性口令来使用。

　　拒绝携带某些资料的网路通讯，如带有附加可执行程式的传入电子讯息，或包含ActiveX程式的Web页面。

　　跟踪连线状态的方式取决于包通过防火墙的型别：

　　TCP包。当建立起一个TCP连线时，通过的第一个包被标有包的SYN标志。通常情况下，防火墙丢弃所有外部的连线企图，除非已经建立起某条特定规则来处理它们。对内部的连线试图连到外部主机，防火墙注明连线包，允许响应及随后再两个系统之间的包，直到连线结束为止。在这种方式下，传入的包只有在它是响应一个已建立的连线时，才会被允许通过。

　　UDP包。UDP包比TCP包简单，因为它们不包含任何连线或序列资讯。它们只包含源地址、目的地址、校验和携带的资料。这种资讯的缺乏使得防火墙确定包的合法性很困难，因为没有开启的连线可利用，以测试传入的包是否应被允许通过。可是，如果防火墙跟踪包的状态，就可以确定。对传入的包，若它所使用的地址和UDP包携带的协议与传出的连线请求匹配，该包就被允许通过。和TCP包一样，没有传入的UDP包会被允许通过，除非它是响应传出的请求或已经建立了指定的规则来处理它。对其他种类的包，情况和UDP包类似。防火墙仔细地跟踪传出的请求，记录下所使用的地址、协议和包的型别，然后对照储存过的资讯核对传入的包，以确保这些包是被请求的。

　　由资讯，防火墙可以减少这种方式的攻击。

　　 3.应用程式代理防火墙

　　应用程式代理防火墙实际上并不允许在它连线的网路之间直接通讯。相反，它是接受来自内部网路特定使用者应用程式的通讯，然后建立于公共网路伺服器单独的连线。网路内部的使用者不直接与外部的伺服器通讯，所以伺服器不能直接访问内部网的任何一部分。

　　另外，如果不为特定的应用程式安装代理程式程式码，这种服务是不会被支援的，不能建立任何连线。这种建立方式拒绝任何没有明确配置的连线，从而提供了额外的安全性和控制性。

　　例如，一个使用者的Web浏览器可能在80埠，但也经常可能是在1080埠，连线到了内部网路的HTTP代理防火墙。防火墙然后会接受这个连线请求，并把它转到所请求的Web伺服器。

　　这种连线和转移对该使用者来说是透明的，因为它完全是由代理防火墙自动处理的。

　　代理防火墙通常支援的一些常见的应用程式有：

　　HTTP

　　HTTPS/SSL

　　SMTP

　　POP3

　　IMAP

　　NNTP

　　TELNET

　　FTP

　　IRC

　　应用程式代理防火墙可以配置成允许来自内部网路的任何连线，它也可以配置成要求使用者认证后才建立连线。要求认证的方式由只为已知的使用者建立连线的这种限制，为安全性提供了额外的保证。如果网路受到危害，这个特征使得从内部发动攻击的可能性大大减少。

　 　4.NAT

　　讨论到防火墙的主题，就一定要提到有一种路由器，尽管从技术上讲它根本不是防火墙。网路地址转换NAT协议将内部网路的多个IP地址转换到一个公共地址发到Internet上。

　　NAT经常用于小型办公室、家庭等网路，多个使用者分享单一的IP地址，并为Internet连线提供一些安全机制。

　　当内部使用者与一个公共主机通讯时，NAT追踪是哪一个使用者作的请求，修改传出的包，这样包就像是来自单一的公共IP地址，然后再开启连线。一旦建立了连线，在内部计算机和Web站点之间来回流动的通讯就都是透明的了。

　　当从公共网路传来一个未经请求的传入连线时，NAT有一套规则来决定如何处理它。如果没有事先定义好的规则，NAT只是简单的丢弃所有未经请求的传入连线，就像包过滤防火墙所做的那样。

　　可是，就像对包过滤防火墙一样，你可以将NAT配置为接受某些特定埠传来的传入连线，并将它们送到一个特定的主机地址。

　　 5.个人防火墙

　　现在网路上流传着很多的个人防火墙软体，它是应用程式级的。个人防火墙是一种能够保护个人计算机系统安全的软体，它可以直接在使用者的计算机上执行，使用与状态/动态检测防火墙相同的方式，保护一台计算机免受攻击。通常，这些防火墙是安装在计算机网路介面的较低级别上，使得它们可以监视传入传出网络卡的所有网路通讯。

　　一旦安装上个人防火墙，就可以把它设定成“学习模式”，这样的话，对遇到的每一种新的网路通讯，个人防火墙都会提示使用者一次，询问如何处理那种通讯。然后个人防火墙便记住响应方式，并应用于以后遇到的相同那种网路通讯。

　　例如，如果使用者已经安装了一台个人Web伺服器，个人防火墙可能将第一个传入的Web连线作上标志，并询问使用者是否允许它通过。使用者可能允许所有的Web连线、来自某些特定IP地址范围的连线等，个人防火墙然后把这条规则应用于所有传入的Web连线。

　　基本上，你可以将个人防火墙想象成在使用者计算机上建立了一个虚拟网路介面。不再是计算机的作业系统直接通过网络卡进行通讯，而是以作业系统通过和个人防火墙对话，仔细检查网路通讯，然后再通过网络卡通讯。

　 　二、各类防火墙的优缺点

　　 1.包过滤防火墙

　　使用包过滤防火墙的优点包括：

　　防火墙对每条传入和传出网路的包实行低水平控制。

　　每个IP包的栏位都被检查，例如源地址、目的地址、协议、埠等。防火墙将基于这些资讯应用过滤规则。

　　防火墙可以识别和丢弃带欺骗性源IP地址的包。

　　包过滤防火墙是两个网路之间访问的唯一来源。因为所有的通讯必须通过防火墙，绕过是困难的。

　　包过滤通常被包含在路由器资料包中，所以不必额外的系统来处理这个特征。

　　使用包过滤防火墙的缺点包括：

　　配置困难。因为包过滤防火墙很复杂，人们经常会忽略建立一些必要的规则，或者错误配置了已有的规则，在防火墙上留下漏洞。然而，在市场上，许多新版本的防火墙对这个缺点正在作改进，如开发者实现了基于图形化使用者介面GUI的配置和更直接的规则定义。

　　为特定服务开放的埠存在着危险，可能会被用于其他传输。例如，Web伺服器预设埠为80，而计算机上又安装了RealPlayer，那么它会搜寻可以允许连线到RealAudio伺服器的埠，而不管这个埠是否被其他协议所使用，RealPlayer正好是使用80埠而搜寻的。就这样无意中，RealPlayer就利用了Web伺服器的埠。

　　可能还有其他方法绕过防火墙进入网路，例如拨入连线。但这个并不是防火墙自身的缺点，而是不应该在网路安全上单纯依赖防火墙的原因。

　　 2.状态/动态检测防火墙

　　状态/动态检测防火墙的优点有：

　　检查IP包的每个栏位的能力，并遵从基于包中资讯的过滤规则。

　　识别带有欺骗性源IP地址包的能力。

　　包过滤防火墙是两个网路之间访问的唯一来源。因为所有的通讯必须通过防火墙，绕过是困难的。

　　基于应用程式资讯验证一个包的状态的能力， 例如基于一个已经建立的FTP连线，允许返回的FTP包通过。

　　基于应用程式资讯验证一个包状态的能力，例如允许一个先前认证过的连线继续与被授予的服务通讯。

　　记录有关通过的每个包的详细资讯的能力。基本上，防火墙用来确定包状态的所有资讯都可以被记录，包括应用程式对包的请求，连线的持续时间，内部和外部系统所做的连线请求等。

　　状态/动态检测防火墙的缺点：

　　状态/动态检测防火墙唯一的缺点就是所有这些记录、测试和分析工作可能会造成网路连线的某种迟滞，特别是在同时有许多连线启用的时候，或者是有大量的过滤网路通讯的规则存在时。可是，硬体速度越快，这个问题就越不易察觉，而且防火墙的制造商一直致力于提高他们产品的速度。

　　 3.应用程式代理防火墙

　　使用应用程式代理防火墙的优点有：

　　指定对连线的控制，例如允许或拒绝基于伺服器IP地址的访问，或者是允许或拒绝基于使用者所请求连线的IP地址的访问。

　　通过限制某些协议的传出请求，来减少网路中不必要的服务。

　　大多数代理防火墙能够记录所有的连线，包括地址和持续时间。这些资讯对追踪攻击和发生的未授权访问的事件事很有用的。

　　使用应用程式代理防火墙的缺点有：

　　必须在一定范围内定制使用者的系统，这取决于所用的应用程式。

　　一些应用程式可能根本不支援代理连线。

　 　4.NAT

　　使用NAT的优点有：

　　所有内部的IP地址对外面的人来说是隐蔽的。因为这个原因，网路之外没有人可以通过指定IP地址的方式直接对网路内的任何一台特定的计算机发起攻击。

　　如果因为某种原因公共IP地址资源比较短缺的话，NAT可以使整个内部网路共享一个IP地址。

　　可以启用基本的包过滤防火墙安全机制，因为所有传入的包如果没有专门指定配置到NAT，那么就会被丢弃。内部网路的计算机就不可能直接访问外部网路。

　　使用NAT的缺点：

　　NAT的缺点和包过滤防火墙的缺点是一样的。虽然可以保障内部网路的安全，但它也是一些类似的局限。而且内网可以利用现流传比较广泛的木马程式可以通过NAT做外部连线，就像它可以穿过包过滤防火墙一样的容易。

　　注意：现在有很多厂商开发的防火墙，特别是状态/动态检测防火墙，除了它们应该具有的功能之外也提供了NAT的功能。

　 　5.个人防火墙

　　个人防火墙的优点有：

　　增加了保护级别，不需要额外的硬体资源。

　　个人防火墙除了可以抵挡外来攻击的同时，还可以抵挡内部的攻击。

　　个人防火墙是对公共网路中的单个系统提供了保护。例如一个家庭使用者使用的是Modem或ISDN/ADSL上网，可能一个硬体防火墙对于他来说实在是太昂贵了，或者说是太麻烦了。而个人防火墙已经能够为使用者隐蔽暴露在网路上的资讯，比如IP地址之类的资讯等。

　 　 个人防火墙的缺点：

　　个人防火墙主要的缺点就是对公共网路只有一个物理介面。要记住，真正的防火墙应当监视并控制两

　　个或更多的网路介面之间的通讯。这样一来的话，个人防火墙本身可能会容易受到威胁，或者说是具有这样一个弱点，网路通讯可以绕过防火墙的规则。

　　好了，在上面我们已经介绍了几类防火墙，并讨论了每种防火墙的优缺点。要记住，任何一种防火墙只是为网路通讯或者是资料传输提供了更有保障的安全性，但是我们也不能完全依赖于防火墙。除了靠防火墙来保障安全的同时，我们也要加固系统的安全性，提高自身的安全意识。这样一来，资料和通讯以及Web站点就会更有安全保障。

1. 例项讲解如何建立安全防火墙

2. Web应用防火墙基础知识

3. 用组策略部署Windows防火墙

4. WIN7防火墙在哪里设定

5.

6. 快速解决 Windows系统防火墙的配置问题

7. 安装防毒软体与设定防火墙 保障电脑安全

包过滤防火墙的过滤原理是什么

包过滤防火墙也称分组过滤路由器，又叫网络层防火墙，因为它是工作在网络层。路由器便是一个网络层防火墙，因为包过滤是路由器的固有属性。它一般是通过检查单个包的地址、协议、端口等信息来决定是否允许此数据包通过，有静态和动态两种过滤方式。
这种防火墙可以提供内部信息以说明所通过的连接状态和一些数据流的内容，把判断的信息同规则表进行比较，在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则（丢弃该包）。在制定数据包过滤规则时，一定要注意数据包是双向的。

包过滤防火墙对（ ）的数据报文进行检查

【答案】：C
包过滤型防火墙是在网络层对数据包进行分析、选择，选择的依据是系统内设置的过滤规则（访问控制表）。通过检查每个数据包的源地址、目的地址、端口和协议状态等因素，确定是否允许该数据包通过。

包过滤防火墙与代理型防火墙的区别

包过滤防火墙与代理型防火墙的区别为：工作原理不同、处理层不同、网关不同。

一、工作原理不同

1、包过滤防火墙：包过滤防火墙过滤系统是一台路由器或是一台主机，可以根据过滤规则阻塞内部主机和外部主机或另外一个网络之间的连接。

2、代理型防火墙：代理型防火墙当代理服务器收到一个客户的连接请求时，先核实该请求，然后将处理后的请求转发给真实服务器，在接受真实服务器应答并做进一步处理后，再将回复交给发出请求的客户。

二、处理层不同

1、包过滤防火墙：包过滤防火墙只检查当前所在层数据包的目标地址，并选择一个达到目的地址的最佳路径。

2、代理型防火墙：代理型防火墙可对网络上任一层的数据包进行检查并经过身份认证，让符合安全规则的包通过，并丢弃其余的包。

***隐藏网址***

三、网关不同

1、包过滤防火墙：包过滤防火墙内部网络的主机，需要设置防火墙为网关，才可以获取Internet资源。

2、代理型防火墙：代理型防火墙内部网络的主机，无需设置防火墙为网关，只需直接将需要服务的IP地址指向代理服务器主机，就可以获取Internet资源。

参考资料来源：

百度百科——包过滤防火墙

百度百科——代理服务型防火墙

在华为的ensp1.3.00.100,防火墙有哪几种类型

防火墙的分类
　　1.包过滤防火墙
　　这是第一代防火墙，又称为网络层防火墙，在每一个数据包传送到源主机时都会在网络层进行过滤，对于不合法的数据访问，防火墙会选择阻拦以及丢弃。这种防火墙的连接可以通过一个网卡即一张网卡由内网的IP地址，又有公网的IP地址和两个网卡一个网卡上有私有网络的IP地址，另一个网卡有外部网络的IP地址。
　　2.状态/动态检测防火墙
　　状态/动态检测防火墙，可以跟踪通过防火墙的网络连接和包，这样防火墙就可以使用一组附加的标准，以确定该数据包是允许或者拒绝通信。它是在使用了基本包过滤防火墙的通信上应用一些技术来做到这点的。
　　3.应用程序代理防火墙
　　应用程序代理防火墙又称为应用层防火墙，工作于OSI的应用层上。应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信。相反，它是接受来自内部网络特定用户应用程序的通信，然后建立于公共网络服务器单独的连接。
　　以上就是防火墙的分类，相信大家对于防火墙的知识有了一些了解，大家应该多多了解一些关于电脑、网络方面的知识，以便在以后碰到计算机方面的问题时，自己就能解决

常见的三种防火墙类型

常见的三种防火墙类型：包过滤防火墙、代理服务器防火墙、状态监视器防火墙。

1、包过滤防火墙，通过在网络中适当位置对数据包进行过滤，根据检查数据要素，依据预定义规则，允许合乎逻辑的数据包通过防火墙进入到内部网络，而将不合乎逻辑的数据包加以删除。同时该产品价格较低、对用户透明、对网络性能的影响小、速度快、易于维护。

2、代理服务器防火墙，服务器运行在两个网络之间，当代理服务器接收到用户请求，会检查用户请求，判断用户站点是否符合要求，可以将被保护的网络内部结构屏蔽起来，增强网络的安全性;可用于实施较强的数据流监控、过滤、记录和报告等。

3、状态监视器防火墙，安全特性较好，采用了在网关上执行网络安全策略的软件引擎，在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的隔层实施检测，抽取部分数据，即状态信息，并动态地保存起来作为以后指定安全决策的参考。

 防火墙的作用

1、防火墙是网络安全的屏障，总得来说，防火墙是可以最大程序的提高电脑网络的安全性的，它能够帮助电脑过滤一些不安全的因素，最后就能帮助提高电脑的安全性能了。我们在使用电脑上网的过程中，防火墙会阻止我们打开一些没有通过应用协议的软件，这样的话网络环境就会因此变得比较的安全。　　

2、防火墙还可以帮助强化网络安全策略。我们只需要通过防火墙的安全方案 的配置，就能将安全软件配置到防火墙上面。当然了，我们也是可以把网络的安全问题分散到各个主机上面来保证安全的，但是这种方法的价格就会比较的高，所以说使用防火墙集中是最经济的做法。

防火墙的类型包括

防火墙的类型包括软件防火墙、硬件防火墙、芯片级防火墙、包过滤防火墙、动态检测防火墙。

1、软件防火墙

运行在特定的计算机上，需要客户预先安装好的计算机操作系统的支持。一般来说这台计算机就是整个网络的网关，俗称个人防火墙。软件防火墙像其他软件产品一样需要先在计算机上安装并做好配置才可以使用。

2、硬件防火墙

硬件防火墙是指所谓的硬件防火墙，针对于芯片级防火墙来说加上了所谓二字。此处的硬件防火墙与芯片级防火墙的最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于PC架构。

3、芯片级防火墙

芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。

4、包过滤防火墙

这是第一代防火墙，又称为网络层防火墙，在每一个数据包传送到源主机时都会在网络层进行过滤，对于不合法的数据访问，防火墙会选择阻拦以及丢弃。

5、动态检测防火墙

可以跟踪通过防火墙的网络连接和包，这样防火墙就可以使用组附加的标准，以确定该数据包是分许或者拒绝通信。它是在使用了基本包过海防火墙的通信上应用些技术来做到这点的。

包过滤防火墙技术的运作方式是什么

1）在TCP/IP网络层（NetworkLayer）可以检查的通信资料有源IP地址（SourceIPAddress）、目的IP地址（DestinationIPAddress）、封装包的类型（TCP/UDP）、源地址通信端口号、目的地址通过端口号。
2）内部网络与外部网络间是直接通信（DirectConnection）。
3）防火墙根据进出防火墙IP封包进行比较、检查、校验。

包过滤防火墙

包过滤防火墙与代理型防火墙的区别为：工作原理不同、处理层不同、网关不同。

常见的三种防火墙类型：包过滤防火墙、代理服务器防火墙、状态监视器防火墙。

包过滤防火墙一般作用在网络层，故也称为网络层防火墙或IP过滤器。包过滤防火墙在TCP/IP四层架构下的IP层中运作。它检查通过的IP数据封包，并进一步处理。主要的处理方式有：放行、丢弃或拒绝，以达到保护自身网络的目的。