包過濾防火牆工作在網路層或者傳輸層,是用一個軟體檢視所流經的資料包的包頭(header),由此決定整個包的命運,可能會決定丟棄(DROP)這個包,可能會接受(ACCEPT)這個包(讓這個包通過),也可能執行其它更復雜的動作。
在Linux系統下,包過濾功能是內建於核心的(作為一個核心模組,或者直接內建),同時還有一些可以運用於資料包之上的技巧,不過最常用的依然是檢視包頭以決定包的命運。包過濾防火牆將對每一個接收到的包做出允許或拒絕的決定。具體地講,它針對每一個數據包的包頭,按照包過濾規則進行判定,與規則相匹配的包依據路由資訊繼續轉發,否則就丟棄。
包過濾是在IP層實現的,包過濾根據資料包的源IP地址、目的IP地址、協議型別(TCP包、UDP包、ICMP包)、源埠、目的埠等包頭資訊及資料包傳輸方向等資訊來判斷是否允許資料包通過。 包過濾也包括與服務相關的過濾,這是指基於特定的服務進行包過濾,由於絕大多數服務的監聽都駐留在特定TCP/UDP埠,因此,為阻斷所有進入特定服務的連結,防火牆只需將所有包含特定TCP/UDP目的埠的包丟棄即可。
