分組過濾路由器是一種具有分組過濾功能的路由器,它根據(jù)過濾規(guī)則對進出內(nèi)部網(wǎng)絡的分組執(zhí)行轉(zhuǎn)發(fā)或者丟棄(即過濾)。過濾規(guī)則基于分組的網(wǎng)絡層或運輸層首部的信息,例如:源/目的IP地址、源/目的端口、 HJR1-2C-L-24V協(xié)議類型(TCP或t1DP),等等。我們知道,TCP的端口號指出了在TCP上面的應用層服務。例如,端口號⒛是ⅡLMⅡ,端口號119是UsEbTET新聞網(wǎng),等等。所以,如果在分組過濾器中將所有目的端口號為23的入分組(incOmingpacket)都進行阻攔,那么所有外單位用戶就不能使用TELNET登錄到本單位的主機上。同理,如果某公司不愿意其雇員在上班時花費大量時間去看困特網(wǎng)的USENET新聞,就可將目的端口號為119的出分組(oL】tgoing packeθ阻攔住,使其無法發(fā)送到因特網(wǎng)。

   分組過濾可以是無狀態(tài)的,即獨立地處理每一個分組。也可以是有狀態(tài)的,即要跟蹤每個連接或會話的通信狀態(tài),并根據(jù)這些狀態(tài)信息來決定是否轉(zhuǎn)發(fā)分組。例如,一個目的地是某個客戶動態(tài)分配端口(該端口無法事先包含在規(guī)則中)的進入分組被允許通過的唯一條

件是:該分組是該端口發(fā)出合法請求的一個響應。這樣的規(guī)則只能通過有狀態(tài)的檢查來實現(xiàn)。

   分組過濾路由器的優(yōu)點是簡單高效,且對于用戶是透明的,但不能對高層數(shù)據(jù)進行過濾。例如,不能禁止某個用戶對某個特定應用進行某個特定的操作,不能支持應用層用戶鑒別等。這些功能需要使用應用網(wǎng)關技術來實現(xiàn)。