分組過濾路由器是一種具有分組過濾功能的路由器,它根據(jù)過濾規(guī)則對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的分組執(zhí)行轉(zhuǎn)發(fā)或者丟棄(即過濾)。過濾規(guī)則基于分組的網(wǎng)絡(luò)層或運(yùn)輸層首部的信息,例如:源/目的IP地址、源/目的端口、 HJR1-2C-L-24V協(xié)議類型(TCP或t1DP),等等。我們知道,TCP的端口號(hào)指出了在TCP上面的應(yīng)用層服務(wù)。例如,端口號(hào)⒛是ⅡLMⅡ,端口號(hào)119是UsEbTET新聞網(wǎng),等等。所以,如果在分組過濾器中將所有目的端口號(hào)為23的入分組(incOmingpacket)都進(jìn)行阻攔,那么所有外單位用戶就不能使用TELNET登錄到本單位的主機(jī)上。同理,如果某公司不愿意其雇員在上班時(shí)花費(fèi)大量時(shí)間去看困特網(wǎng)的USENET新聞,就可將目的端口號(hào)為119的出分組(oL】tgoing packeθ阻攔住,使其無法發(fā)送到因特網(wǎng)。

   分組過濾可以是無狀態(tài)的,即獨(dú)立地處理每一個(gè)分組。也可以是有狀態(tài)的,即要跟蹤每個(gè)連接或會(huì)話的通信狀態(tài),并根據(jù)這些狀態(tài)信息來決定是否轉(zhuǎn)發(fā)分組。例如,一個(gè)目的地是某個(gè)客戶動(dòng)態(tài)分配端口(該端口無法事先包含在規(guī)則中)的進(jìn)入分組被允許通過的唯一條

件是:該分組是該端口發(fā)出合法請(qǐng)求的一個(gè)響應(yīng)。這樣的規(guī)則只能通過有狀態(tài)的檢查來實(shí)現(xiàn)。

   分組過濾路由器的優(yōu)點(diǎn)是簡(jiǎn)單高效,且對(duì)于用戶是透明的,但不能對(duì)高層數(shù)據(jù)進(jìn)行過濾。例如,不能禁止某個(gè)用戶對(duì)某個(gè)特定應(yīng)用進(jìn)行某個(gè)特定的操作,不能支持應(yīng)用層用戶鑒別等。這些功能需要使用應(yīng)用網(wǎng)關(guān)技術(shù)來實(shí)現(xiàn)。