Packet Filtering (hay việc lọc và giỏm sỏt cỏc Packet vào và ra khỏi mạng) cho phộp (hoặc khụng cho phộp) chỳng ta điều khiển trao đổi dữ liệu giữa một mạng cần được bảo vệ với Internet chủ yếu dựa trờn cỏc thụng tin sau:
Địa chỉ nơi xuất phỏt của dữ liệu Địa chỉ nơi dữ liệu sẽ đến
Nghi thức ở cấp ứng dụng được sử dụng để truyền dữ liệu
Hầu hết cỏc Packet filtering Router thực hiện việc lọc cỏc Packet khụng dựa trờn nội dung của dữ liệu. Packet Filtering Router thường sẽ cú những khả năng cú dạng như sau:
Khụng cho phộp bất cứ người nào dựng Telnet (một nghi thức cấp ứng dụng application Protocol) để login từ bờn ngoài vào hệ thống mạng cần bảo vệ.
Cho phộp bất cứ ai cú thể gửi e–mail dựng SMTP (một nghi thức ở cấp ứng dụng) cho cỏc user trong mạng cần bảo vệ hoặc ngược lại.
Mỏy cú địa chỉ X cú thể gửi tin tức cho chỳng ta dựng một nghi thức nào đú, nhưng những mỏy khỏc khụng cú được đặc quyền này.
Do Packet filter lọc cỏc gúi IP chủ yếu là dựa vào địa chỉ mỏy gửi và mỏy nhận cho nờn nú khụng thể cho phộp một user A nào đú được dựng dịch vụ Telnet mà user khỏc thỡ khụng. Packet filter cũng khụng cú khả năng cấm việc truyền file này mà khụng cho phộp việc truyền cỏc file khỏc.
Ưu điểm chớnh của Packet Filtering là khả năng tỏc dụng toàn cục của nú. Nú cung cấp khả năng bảo vệ tương đối cho toàn mạng mà chỉ đặt ở một nơi. Một vớ dụ cho thấy điều đú là việc cấm dịch vụ Telnet. Nếu chỳng ta cấm dịch vụ Telnet vào bằng cỏch tắt tất cả cỏc Telnet Server của chỳng ta cũng chưa hẳn là chỳng ta đó cấm hoàn toàn được dịch vụ Telnet từ bờn ngoài vỡ rằng cú thể cú một người nào đú trong cơ quan cài đặt một mỏy mới (hoặc cài đặt lại mỏy cũ) cú Telnet Server đang chạy. Nhưng mà nếu Telnet bị cấm bởi Packet Filtering Router thỡ mỏy mới được cài đặt này cũng được bảo vệ mặc dự Telnet
Server ở mỏy đú cú bật lờn hay khụng. Núi túm lại Packet Filtering Router cú thể bảo vệ toàn mạng ở một mức nào đú một cỏch triệt để.
Khả năng bảo vệ mạng ở một mức độ nào đú cú thể chỉ cần cung cấp bởi những Filtering Router. Nhờ Packet Filtering Router chỳng ta cú thể bảo vệ được việc tấn cụng hệ thống mạng ở dạng đỏnh lừa địa chỉ (address – spoofing attacks). Với dạng tấn cụng này, người tấn cụng vào hệ thống thường lấy địa chỉ mỏy cục bộ mà họ muốn tấn cụng làm địa chỉ nguồn của dữ liệu mà họ gửi đi. Chỉ cú Router mới biết được những Packet loại này đến từ mạng bờn ngoài (Internet) mà cú địa chỉ nguồn giống những địa trong mạng mà nú bảo vệ, nờn nú cú thể phỏt hiện ra kiểu đỏnh lừa địa chỉ này.