分組過(guò)濾路由器是一種具有分組過(guò)濾功能的路由器,它根據(jù)過(guò)濾規(guī)則對(duì)進(jìn)出內(nèi)部網(wǎng)ADD8767絡(luò)的分組執(zhí)行轉(zhuǎn)發(fā)或者丟棄(即過(guò)濾)。過(guò)濾規(guī)則基于分組的網(wǎng)絡(luò)層或運(yùn)輸層首部的信息,例如:源/目的IP地址、源/目的端口、協(xié)議類(lèi)型(TCP或t1DP),等等。我們知道,TCP的 端口號(hào)指出了在TCP上面的應(yīng)用層服務(wù)。例如,端口號(hào)⒛是ⅡLMⅡ端口號(hào)119是UsEbTET新聞網(wǎng),等等。所以,如果在分組過(guò)濾器中將所有目的端口號(hào)為23的入分組(incOmingpacket)都進(jìn)行阻攔,那么所有外單位用戶(hù)就不能使用TELNET登錄到本單位的主機(jī)上。同

理,如果某公司不愿意其雇員在上班時(shí)花費(fèi)大量時(shí)間去看困特網(wǎng)的USENET新聞,就可將目的端口號(hào)為119的出分組(oL】tgoing packeθ阻攔住,使其無(wú)法發(fā)送到因特網(wǎng)。分組過(guò)濾可以是無(wú)狀態(tài)的,即獨(dú)立地處理每一個(gè)分組。也可以是有狀態(tài)的,即要跟蹤每個(gè)連接或會(huì)話(huà)的通信狀態(tài),并根據(jù)這些狀態(tài)信息來(lái)決定是否轉(zhuǎn)發(fā)分組。例如,一個(gè)目的地是某個(gè)客戶(hù)動(dòng)態(tài)分配端口(該端口無(wú)法事先包含在規(guī)則中)的進(jìn)入分組被允許通過(guò)的唯一條件是:該分組是該端口發(fā)出合法請(qǐng)求的一個(gè)響應(yīng)。這樣的規(guī)則只能通過(guò)有狀態(tài)的檢查來(lái)實(shí)現(xiàn)。

   分組過(guò)濾路由器的優(yōu)點(diǎn)是簡(jiǎn)單高效,且對(duì)于用戶(hù)是透明的,但不能對(duì)高層數(shù)據(jù)進(jìn)行過(guò)。例如,不能禁止某個(gè)用戶(hù)對(duì)某個(gè)特定應(yīng)用進(jìn)某個(gè)特定的操作,不能支持應(yīng)用層用戶(hù)鑒別等。這些功能需要使用應(yīng)用網(wǎng)關(guān)技術(shù)來(lái)實(shí)現(xiàn)。