什么是包過濾防火墻？包過濾防火墻又稱作網(wǎng)絡(luò)級防火墻，工作于OSI(Open System Interconnect，開放式系統(tǒng)互連)模型的網(wǎng)絡(luò)層(即第4層)，通過檢查每個數(shù)據(jù)包的IP地址，采用通信協(xié)議和端口號等來判斷是否允許放行。

防火墻將提取的內(nèi)部狀態(tài)信息與其連接狀態(tài)表進行比較，如果符合其中的某一條規(guī)則，就允許數(shù)據(jù)通過;如果沒有符合任何規(guī)則，就會使用默認規(guī)則進行處理(一般情況下，默認規(guī)則就是丟棄該包)。因此，只要定義欲禁止的應(yīng)用程序所使用的TCP(Transmission Control Protocol，傳輸控制協(xié)議)或UDP(UserDatagram Protocol，用戶數(shù)據(jù)報協(xié)議)端口號，就能阻擋該應(yīng)用程序或網(wǎng)絡(luò)服務(wù)，不允許其建立特定的連接。

不過，對于那些使用動態(tài)端口的應(yīng)用程序或網(wǎng)絡(luò)服務(wù)而言，這種過濾方式就會發(fā)生一些問題。由于防火墻不知道哪些端口需要打開，而用戶又必須使用該服務(wù)，這就不得不將所有可能用到的端口都打開，而這個范圍可能會較大或非常大，從而給黑客以可乘之機。由此，某些防火墻采用動態(tài)包過濾技術(shù)，通過檢查應(yīng)用程序信息，判斷哪些端口需要臨時打開。當傳輸結(jié)束以后，這些端口又馬上恢復為關(guān)閉狀態(tài)。

網(wǎng)絡(luò)級防火墻的優(yōu)點是速度快、費用低、對用戶透明。但是其缺點也很突出，即對網(wǎng)絡(luò)的保護很有限，因為它只檢查地址和端口。