Hệ thống sử dụng Packet Filtering Router có những ưu điểm sau:
• Một Filtering Router có thể bảo vệ toàn cả mạng: Một ưu điểm quan trọng nhất của Packet Filtering đó là chỉ cần ở một vị trí chiến lược mà Packet Filtering Router có thể bảo vệ toàn bộ mạng. Nếu chỉ có một Router nối mạng cần bảo vệ với Internet, thì chỉ cần một Filtering Router là có thể bảo vệ toàn bộ mạng mà không phụ thuộc vào mức độ lớn nhỏ của mạng cần bảo vệ, mặc dù khả năng bảo vệ chỉ ở một mức nào đó mà thôi (việc bảo vệ mang tính toàn cục – global)
• Packet Filtering System có thể cấm hoặc cho phép một số loại dịch vụ, hay một số địa chỉ IP của một số hệ thống nào đó.
• Packet Filtering có thể không ảnh hưởng đến user : Packet Filtering không cần thay đổi phần mềm Client hoặc thay đổi cấu hình máy của Client, user cũng không cần phải huấn luyện để sử dụng hệ thống Packet filering mặc dù có sự cộng tác của user thì vẫn tốt hơn, đây là tính trong suốt (tranparency) đối với user. Khi Filtering Router nhận được một Packet, xem xét và thấy nó thỏa mãn qui tắc bảo vệ, lúc đó Router sẽ forward Packet đi như những Router thông thường làm cho nên không thấy rõ sự khác biệt giữa Filtering Router và Router thông thường.
• Khả năng lọc chỉ dựa trên địa chỉ IP và số port mà không dựa trên user/ application mặc dù có một số Packet Filtering system cho phép lọc dựa trên hostname nhưng không nên đặc tả các qui tắc để lọc dựa trên hostname vì như vậy hệ thống sẽ bị tấn công bằng cách khác – Ví Dụ làm tê liệt DNS Server hoặt giả DNS Server để trả lời query tên máy thành địa chỉ IP.
• Hiện nay có nhiều Router cung cấp khả năng Packet Filtering: khả năng lọc gói được nhiều nhà sản xuất phần cứng cũng như phần mềm hỗ trợ trong sản phẩm của họ, những sản phẩn thương mại cũng như miễn phí trên Internet.
Mặc dù Packet Filtering có nhiều ưu điểm như ở trên nhưng nó cũng có một số nhược điểm sau:
• Đối với Packet Filtering System có thể bị tấn công theo loại network denial of service attacks. Khi người tấn công biết hệ thống có Packet filter, họ sẽ cố gắng làm tê liệt hoạt động hệ thống nhờ các kỹ thuật “message flooding”, “service overloading”. Message flooding là một dạng tấn công vào hệ thống làm tê liệt hoạt động của hệ thống bằng cách gây lũ dữ liệu hệ thống bị tấn công. Người tấn công thường gửi hàng loạt các message vào hệ thống mà họ tấn công. Kết quả là hệ thống bị tấn công không còn thời gian để xử lý những yêu cầu khác, đôi lúc nó có thể làm treo hệ thống bị tấn công. Dạng tấn công điển hình của kiểu này là người tấn công cho thực hiện việc gửi hành loạt các mail–message vào hệ thống mà họ tấn công dẫn đến kết quả là mail– Server không còn vùng nhớ để lưu những mail hay thông tin khác, đây là tình trạng đĩa đầy.
• Những công cụ Packet Filtering hiện hành là không hoàn thiện: Mặc dù khả năng Packet Filtering được cung cấp bởi nhiều nhà cung cấp phần cứng
cũng như phần mềm nhưng những sản phẩm này vẫn chưa được hoàn thiện. Những Packet Filtering thường có một số hạn chế sau:
− Việc xác định qui tắc để lọc các Packet thường khó thực hiện và cũng khó cấu hình. Vì phải thực hiện việc chuyển chính sách bảo vệ thành một tập các qui tắc lọc thường rất khó.
− Khi đã được cấu hình thì việc kiểm tra các luật lệ (rules) cũng khó khăn.
− Khả năng của nhiều sản phẩm Packet Filtering thường không hoàn thiện, cũng như khả năng trợ giúp cho việc hiện thực một số dạng lọc gói ở mức cao thường khó thực hiện, nhiều lúc là không thể thực hiện được.
− Giống như bất kỳ những sản phẩm khác, những Packet Filtering cũng có thể có một số lỗi mà những lỗi này có thể gây ra một số kết quả không mong muốn. Những lỗi này có thể gây ra cho nó hoạt động sai, đó là nó có thể cho phép một số Packet nào đó đi qua thay vì cấm.
• Một số giao thức (Protocol) không thích hợp với Packet Filtering, thậm chí đối với những sản phẩm Packet Filtering hoàn hảo, chúng ta cũng sẽ thấy rằng có một số nghi thức mà những khả năng bảo vệ của Packet Filtering không thể bảo vệ mạng được hoặc là những dịch vụ sử dụng những Protocol loại này phải bị cấm. Những Protocol điển hình cho dạng đó là các Berkley “r” command (rcp, rlogin, rdist, rsh, .. .) và những RPC–based Protocol như NFS, NIS/YP.
• Một số chính sách bảo vệ không thể thực hiện được nhờ vào Packet Filtering: Qui tắc mà một Packet Filtering cho chúng ta đặc tả có thể không phù hợp với yêu cầu thực sự của chúng ta. Không có khả năng bảo vệ ở cấp application, không thể thay đổi hoạt động của một dịch vụ, không giám sát được từng chức năng trên một dịch vụ cụ thể để có thể cấm hoặc cho phép một chức năng nào đó trên dịch vụ nào đó (nói như vậy là tùy thuộc vào hiện thực của Packet Filtering System nhưng mà hầu hết các khả năng có thể làm được là như trên) Packet Filtering cũng không cho phép chúng ta cấm hoặc cho phép user này có thể được sử dụng một dịch vụ nào đó nhưng mà user khác thì không được phép.