Packet Filtering (hay việc lọc và giám sát các Packet vào và ra khỏi mạng) cho phép (hoặc không cho phép) chúng ta điều khiển trao đổi dữ liệu giữa một mạng cần được bảo vệ với Internet chủ yếu dựa trên các thông tin sau:
− Địa chỉ nơi xuất phát của dữ liệu − Địa chỉ nơi dữ liệu sẽ đến
− Nghi thức ở cấp ứng dụng được sử dụng để truyền dữ liệu
Hầu hết các Packet filtering Router thực hiện việc lọc các Packet không dựa trên nội dung của dữ liệu. Packet Filtering Router thường sẽ có những khả năng có dạng như sau:
− Không cho phép bất cứ người nào dùng Telnet (một nghi thức cấp ứng dụng application Protocol) để login từ bên ngoài vào hệ thống mạng cần bảo vệ.
− Cho phép bất cứ ai có thể gửi e–mail dùng SMTP (một nghi thức ở cấp ứng dụng) cho các user trong mạng cần bảo vệ hoặc ngược lại.
− Máy có địa chỉ X có thể gửi tin tức cho chúng ta dùng một nghi thức nào đó, nhưng những máy khác không có được đặc quyền này.
Do Packet filter lọc các gói IP chủ yếu là dựa vào địa chỉ máy gửi và máy nhận cho nên nó không thể cho phép một user A nào đó được dùng dịch vụ Telnet mà user khác thì không. Packet filter cũng không có khả năng cấm việc truyền file này mà không cho phép việc truyền các file khác.
Ưu điểm chính của Packet Filtering là khả năng tác dụng toàn cục của nó. Nó cung cấp khả năng bảo vệ tương đối cho toàn mạng mà chỉ đặt ở một nơi. Một ví dụ cho thấy điều đó là việc cấm dịch vụ Telnet. Nếu chúng ta cấm dịch vụ Telnet vào bằng cách tắt tất cả các Telnet Server của chúng ta cũng chưa hẳn là chúng ta đã cấm hoàn toàn được dịch vụ Telnet từ bên ngoài vì rằng có thể có một người nào đó trong cơ quan cài đặt một máy mới (hoặc cài đặt lại máy cũ) có Telnet Server đang chạy. Nhưng mà nếu Telnet bị cấm bởi Packet Filtering Router thì máy mới được cài đặt này cũng được bảo vệ mặc dù Telnet Server ở máy đó có bật lên hay không. Nói tóm lại Packet Filtering Router có thể bảo vệ toàn mạng ở một mức nào đó một cách triệt để.
Khả năng bảo vệ mạng ở một mức độ nào đó có thể chỉ cần cung cấp bởi những Filtering Router. Nhờ Packet Filtering Router chúng ta có thể bảo vệ được việc tấn công hệ thống mạng ở dạng đánh lừa địa chỉ (address – spoofing attacks). Với dạng tấn công này, người tấn công vào hệ thống thường lấy địa chỉ máy cục bộ mà họ muốn tấn công làm địa chỉ nguồn của dữ liệu mà họ gửi đi. Chỉ có Router mới biết được những Packet loại này đến từ mạng bên ngoài (Internet) mà có địa chỉ nguồn giống những địa trong mạng mà nó bảo vệ, nên nó có thể phát hiện ra kiểu đánh lừa địa chỉ này.